PHP/MYSQL et token JWT

Bonjour,

J'ai une application mobile qui appelle des scripts PHP/MYSQL retournant pour certains des données plutôt sensible type (adresse email du membre). J'ai commencé à utiliser la librairie PHP-JWT et je génère donc un token lors de la connexion à l'espace membre. Quel est mon problème allez vous me dire ?

Il est simple je ne comprends pas comment sécuriser l'accès à ses scripts avec JWT c'est sur le principe que je bloque. On parle de créer un token valable seulement 60 secondes (c'est court très court même) et si le token est expiré lors de la requete suivante on ne va quand même pas déconnecté le membre et le renvoyer sur la page de login donc j'ai entendu parler de renouvellement de token. Du coup je ne comprends pas bien comment et quand faire ces renouvellements de token.

1 - Je me loggue. Si OK je crée un token sur le serveur et je le renvoie à l'application mobile qui va le garder car elle devra le retransmettre à chaque requête PHP
2 - Je tente d'afficher une page de l'application utilisant un appel à un script PHP/MYSQL la requete est faite et je transmets alors le token à l'application
3 - Le serveur vérifie le token
et c'est pour après que je bloque. Est-ce qu'on renouvelle tout le temps le token côté serveur ? J'ai vu que certains parlaient de faire un second token plus long d'une durée genre 1 heure

Merci de votre aide et de vos explications sur ce sujet épineux mais au combien important dans le développement d'une application mobile et d'une API en PHP

depuis 2016 environ, il y a une grande différence dans les requêtes envoyées au serveur avec la généralisation de HTTPS.
avant avec HTTP, il était indispensable de chiffrer les codes d'accès envoyés au serveur. alors qu'il peuvent maintenant être envoyés "en clair" puisque HTTPS s'occupe de les cacher.

donc dans les différents tutoriels que vous avez trouvé, étudiez seulement ceux qui utilisent HTTPS parce que la logique de sécurisation des échanges (de données et des tokens) est différente par rapport à HTTP.

J'utilise HTTPS uniquement sur mon serveur. Les données sont donc chiffrées. Du coup, pour mon application mobile qui appelle mes scripts PHP/mysql et qui retourne des données sensible est-ce qu'on doit utiliser des tokens (type JWT,oAuth) ou ce n'est pas nécessaire ?

Si je veux empêcher l'accès à mes scripts, les tokens me semblent nécessaire non ?