Аутентификация клиентов на сервере в соцсети

При написании своей соцсети (по типу Telegram или VK) столкнулся с вопросом аутентификации клиентов на сервере. В интернете куча информации насчет различных способов аутентификации (через токены и пр.), поэтому вопрос: какой из них наиболее предпочтителен в данной задаче? Я, пока, решил остановиться на JWT токенах. Но тут же вопрос: насколько часто необходимо менять токены? какое время жизни им задавать? и пр. И нужны ли именно токены, или есть варианты получше?