Как правильно реализовать аутентификацию в клиент-серверном приложении используя JWT(от Firebase)

Как это вижу я: 1) Пользователь отправляет на сервер логин и пароль 2) Они проверяются в базе, если соответствуют - сервер генерирует токен. 3) Токен сохраняет в БД и локальное хранилище у пользователя. 4) Пользователь при каждом запросе отправляет токен на сервер 5) Сервер сверяет токен. Если все верно дает доступ.

Правильно ли использовать JWT для авто входа в приложение: При первом входе пользователь отправляет логин и пароль. Дальше пользователь отправляет только токен.