身份验证，承载，会话

Question

我有几个问题都与（安全）登录有关。 我正在为一个或多个管理页面建立身份验证。我主要使用：

• AngularJS
• PHP
• Mysql PDO

在我的index.html上，我有一个表单，该表单被发布到（使用$ http AngularJS）authentication.php页面。 如果针对数据库的身份验证成功，则该页面返回200，否则它将生成4xx代码。
如果成功，则有效负载将返回承载。到“ admin”页面的每个请求都应使用（由拦截器使用）此承载。 我现在遇到的问题：

• 我还应该使用会话来仔细检查用户的有效性。 （例如，如果SESSION bla bla＆bearer有效，那么您就被允许）
• 在不记名令牌中，您可以设置例如用户名...应与会话用户名匹配吗？
• 承载令牌过期非常快。现在，我正在阅读有关刷新令牌的信息。但是，为什么承载令牌到期，并且如果刷新令牌有效，则刷新令牌？我正在将PHP授权与JWT（JSON网络令牌）一起使用
• 为什么我不应该仅在每个请求上刷新承载，以使承载仅在“空闲”时间之后过期？

我想知道其他人如何实现安全的登录/保护页面。越多不一定总能越好，也许我在上面创造了太多的开销？

感谢您抽出宝贵的时间来解释。