Привет, сейчас делаю аутентификацию и регистрацию через апи на симфони

4, кому не жалко пары минут - посмотрите код пожалуйста,
скажите что я сделал не так и что стоит переделать что бы я себе не выстрелил в колено.

Сейчас у меня есть 2 аутентификатора: PasswordAuthenticator - его задача найти юзера по логину и паролю, выдать в ответ токен который клиент должен будет передавать через (/api/users?apiKey=...), этот аутентификатор работает только по пути /api/login.
Второй же TokenAuthenticator - на его плечах найти юзера по токену и авторизировать его, если никого не нашли - ничего страшного, запрос идёт дальше, возможно для этого роута не требуется авторизации, этот аутентификатор работает по всех роутах с префиксом /api

А теперь вопросы которые меня беспокоят - кто должен отвечать за генерацию токена?
Нормально ли делать так: https://github.com/svbackend/my-art-lib/blob/master/src/Security/PasswordAuthenticator.php#L72 ? Интересует мнение не только по этой строке но и по всему методу

Второй момент это инвалидация токенов, как лучше всего это организовать и где? Пока что пришёл к этому - надо вынести токены в отдельную таблицу куда добавить поле expires_at, TokenAuthenticator будет загружать токен только когда expires_at >= NOW() если же токен нашёлся но просрочился - требуем юзера авторизироваться заново, но не нравится момент что в этом случае в юзера "сессия" будет слетать каждые там 2 недели условно (в зависимости от настроен токена), как можно этого избежать? Выдавать токены на год?

Пока на этом всё, буду благодарен за любые ответы

Зачем тебе сессия в api?

Я тут выше чуть не целую статью написал с объяснением что мне не нравится в том что у меня получлось

мне не понравилось, имхо.