应用错误收集

对于以下是否是一种安全的用户身份验证方法，我真的要提出一些意见，如果不是，请指出它的缺点。

1）用户注册，将数据发布到API，通过电子邮件向用户发送一次使用激活链接，以确保电子邮件有效，然后才能访问其帐户。

2）用户登录，API以所有常用方式验证数据，然后发送回包含其用户ID和访问令牌的JSON对象。

3）接收到数据后，在用户设备上的localStorage中设置用户ID和访问令牌。然后，React从localStorage获取数据，并使用它来设置和控制Redux存储中的状态，从而提供应用范围内的Auth状态。

4）用户ID和访问令牌与将来对API的每个请求一起发送。在用户未登录的情况下，即-他们没有提供带有匹配令牌的有效用户ID，则会自动阻止他们在API的第一个入口点请求任何需要身份验证的请求。适当的响应会被发回，从而更新前端状态以反映未登录的用户。

5）用户注销后，访问令牌将从localStorage中删除。

有关一些内部工作原理的更多细节：

所有令牌都是在服务器端生成的，并存储在数据库中，它们是随机且唯一的bin2hex(random_bytes(32))，仅在提供匹配的用户ID时才有效。因此，更改请求中的用户ID会导致身份验证响应失败，以及提供带有不匹配或过期令牌的有效用户ID。
令牌是一次性的，并且会生成，存储新的令牌，然后从每个已认证的请求中将其与相应的用户ID一起发送回响应中。这可能会过大，并给服务器带来很多额外的压力。真的很希望您对此方面的意见。
令牌设置为在2小时内过期。因此，如果用户让自己保持登录状态，那么他们将在闲置2小时后自动退出。
用户ID和令牌作为每个请求的JSON主体的一部分发送（不在标头中）。这是否值得关注？
在任何时候（除了注册和登录），用户密码都不会在localStorage中传输或存储或由React前端使用。初始授权后，验证用户所需的全部是匹配的用户ID和令牌。
所有连接都是通过HTTPS建立的。

您可以通过这种方法发现任何明显的安全风险吗？我想念这里房间里的大象吗？

很明显，就身份验证而言，用户ID和匹配令牌与在每个请求上为用户提供电子邮件和密码一样好，但是我不能使用PHP会话或cookie *，因为API托管在其他域中。这是我无需沿JWT或Oauth路线就能想到的最好的解决方法。

在这里无法实际解决我在API上检查和验证数据的方式可能有多严重，但是假设一切都正确完成，此方法原则上是否足够安全？

我期待着并感谢您的意见:)

*没有大量的变通办法，最终这将是多余的，因为此应用只能与都支持localStorage的现代浏览器一起使用。