подскажите пожалуйста ссылку где это расписано как попроще, у меня пока получается найти как посложнее. нужно что бы с куки и истекало через определенный интервал.

Здравствуйте, -rsdn-, Вы писали:

R>подскажите пожалуйста ссылку где это расписано как попроще, у меня пока получается найти как посложнее. нужно что бы с куки и истекало через определенный интервал.

Что бы совсем было просто и было понятно как оно работает, то можно реализовать свои фильтры аутентификации и авторизации, которые будут проверять куки. Делается элементарно.

Сначала вариант как правильней:
Identity Server.
Если кратко, то эта фиговина реализует OpenID протокол и отвечает за выпуск токенов доступа к API.
На хабре были статьи про него, с ходу что-то не смог найти.

Вариант как проще.
1. Создание юзера
POST /api/users { login, password } — тут все стандартно. Проверяем валидность, пишем в БД.
2. Логин
POST /api/login { login, password } => access token
access token — это либо [ur=https://jwt.io/]JWT[/url], либо что-то самописное.
Можешь например взять JSON, записать туда id пользователя/срок действия + подписать приватным ключем сервера.
3. Защита доступа к /api/protected-resouce
Смотрим, передан ли токен. Обычно передают через Authorization header.
Если нет — нафиг.
Если да — проверяем подпись под токеном, чтобы убедиться, что это мы его выдали. Подпись не сошлась — нафиг.
Проверяем, что срок действия не истек. Если истек — нафиг.
Подпись сошлась и токен действует — берем id пользователя, ну и дальше делаем действия от имени этого пользователя.