Estoy creando una API de descanso con nextjs que interactuará con la aplicación móvil y la aplicación web. y mi pregunta es una mala práctica a la siguiente como la autenticación sin comprobar las sesiones. esquema mysql.
Usuarios de mesa.
ID ID DE USUARIO NOMBRE DE CORREO ELECTRÓNICO CREADO EN
TOKEN DE ACCESO A MESA
ID ID DE USUARIO ACCESO FECHA DE VENCIMIENTO DEL TOKEN IP ÚLTIMO INICIO DE SESIÓN
Usuario Crea una cuenta con solicitud de publicación https y crea una fila en la tabla de usuarios También crea una fila con ip y token de acceso con fecha de vencimiento del token.
El token de acceso se guarda como cookie en el navegador web de los usuarios
y con cada visita a las páginas que requieren inicio de sesión o una solicitud de publicación, el token coincide con el token de acceso y la ip coincide con la ip en la pestaña del token de acceso
en caso de diferencia en ip o token caducado, los usuarios serán desconectados inmediatamente.