Dicas de autenticação e autorização para Backend

Crie um guia detalhado e prático (passo a passo, com exemplos de código em Python usando Flask e SQLAlchemy) sobre como implementar um sistema robusto de autenticação e autorização baseado em tokens JWT (JSON Web Tokens) para uma API RESTful. O guia deve cobrir:

1.  **Geração e Verificação de Tokens:** Como gerar tokens JWT após login bem-sucedido e como verificar a validade desses tokens em requisições subsequentes.
2.  **Refresh Tokens:** A necessidade e a implementação de refresh tokens para gerenciar a expiração de tokens de acesso sem exigir novo login constante. Inclua estratégias para armazená-los de forma segura (ex: banco de dados, Redis) e como usá-los para obter novos tokens de acesso.
3.  **Roles (Papéis) e Permissões:** Como integrar um sistema de papéis (administrador, usuário comum, etc.) e permissões (ler, escrever, deletar) ao JWT, permitindo que diferentes usuários tenham acesso a diferentes endpoints ou funcionalidades.
4.  **Proteção de Rotas:** Exemplos claros de como proteger rotas específicas da API, garantindo que apenas usuários autenticados e com as permissões corretas possam acessá-las.
5.  **Segurança e Boas Práticas:** Discussão sobre ataques comuns (replay attacks, roubo de tokens) e as melhores práticas para mitigar esses riscos (HTTPS, expiração curta de tokens de acesso, blacklist de tokens, armazenamento seguro de chaves secretas).
6.  **Gerenciamento de Logout:** Como invalidar tokens de acesso e refresh tokens no logout.

O guia deve ser didático, com explicações claras dos conceitos, e focado em um ambiente de produção, não apenas em protótipos.