我正在构建一个应用程序，它的前端支持iOS和Android，后端由flaskapi和MySQL数据库组成。你知道吗

现在，我们的身份验证使用JWT。除了我不确定我是否完全理解它应该如何工作。你知道吗

我不知道在哪里可以找到JWT的规范，所以当我说JWT时，我只是指使用PyJWT库加密的JSON负载。你知道吗

目前，代币的到期时间是从其创建之日起6个月。 我觉得这是一个相当不安全的设置。你知道吗

从我看到的所有示例来看，jwt的生命周期非常短，然后有某种“刷新令牌”来更新它。你知道吗

但我只知道这些。我对它的理解还不足以用Python编写代码。你知道吗

有人能解释一下这个刷新令牌是什么，它到底做什么，它是如何创建的，等等吗。？你知道吗

更新：

关于JWT的规范，我读到：https://tools.ietf.org/html/rfc7519

它没有提到任何刷新令牌。你知道吗

所以现在我的问题是，我所做的足够安全吗？你知道吗

有一个logoutAPI端点发送令牌并将其添加到黑名单中，这样就没有人可以窃取它了，值得吗？你知道吗