ממה שאני מבין בREST API אני לא אמור להשתמש בSESSIONS בכלל, איך מתבצע התהליך בעצם?
SSL CONNECTION:
1. יוזר מתחבר, אני שולח את היוזר והסיסמא מהאפליקציה לשרת API.
2. השרת בודק מול הDB אם היוזר והסיסמא מתאימים, אני יוצר טוקן.
3. אני מחזיר את הטוקן לאפליקציה והוא מאחסן אותו וכל פעם שהיוזר עושה פעולה שמצריכה את המשתמש אני שולח בקשה לשרת עם הטוקן ועושה בדיקה מול הSQL(נגיד ל loginCheck/)

זו הדרך הנכונה?

ה FLOW של JWT עובד ככה:

1. המשתמש מאומת עם שם משתמש \ סיסמא מול end point יעודי לאימות, לדוגמא localhost.com/api/token

2. אותו שרת מאמת את המשתמש ושולח בחזרה TOKEN - התוקן בנוי ממידע על היוזר וגם KEY מוצפן המכיל בתוכו את אותו מידע על היוזר אבל כאמור בצורה מוצפנת שרק אותו שרת יכול לפתוח.

3.כל בקשה מול ה REST API דורשת מהקליינט לצרף AUTHORIZARION HEADER המכיל את ה TOKEN

4. ה REST API בודק כל בקשה שמגיעה אליו להימצאות ה HEADER הנ"ל
5. במידה וה HEADER אכן נמצא נשלחת בקשה אל אותו שרת ייעודי מסעיף 1 לאימות של ה TOKEN
6. אותו שרת מאמת את ה TOKEN על ידי פיענוח של ה KEY המוצפן המצוי ב TOKEN

7. השרת מחזיר תשובה אל ה REST API אם הזיהוי הצליח.

ככה שמהרגע שה TOKEN נוצר אין צורך לפנות שוב ל DB כדי לאמת אותו. הוא גם לא מכיל את הסיסמא של היוזר.