这个是根据appId和appSecret生成一个jwt,然后每次调用API 的时候携带appId和token就认为是正确的请求？这个有啥用啊？就是为了防止仿造请求？那我要提供接口给移动端是不是把appId和appSecret要改成username和password？还有生成的jwt有个失效时间是2个小时，是不是意味着两个小时候再访问即使携带token也认为是错误的请求还是逻辑里面自己判断失效？