Authentication

Xác thực và quản lý JWT token.

Sau khi login thành công, lưu lại:

• access_token — dùng cho tất cả API tiếp theo (Authorization: Bearer <token>)
• expires_in — dùng để biết thời điểm cần refresh (mặc định 36,000 giây ~ 10 giờ)
• refresh_token — dùng để lấy access_token mới mà không cần login lại (hết hạn sau 1,800 giây ~ 30 phút)