Sécurité Token d'Authentification

Bonjour à tous,

Je développe actuellement une application mobile avec le framework Ionic, et j'ai tout mon backoffice en PHP.
Je voudrais sécuriser la connexion des utilisateurs, et en cherchant pendant pas mal de temps sur le web, il semblerait que l'utilisation d'un token soit une solution de choix. Ne comprenant pas bien comment s'implémente une solution très utilisée comme JWT, j'ai décidé de tenter de me débrouiller, et j'en suis arrivé à une méthode, laquelle j'aimerais que vous commentiez, afin de savoir si c'est suffisamment sécurisé, ou à défaut, comment l'améliorer.

Pour ceux qui ne connaissent pas Ionic, les pages sont faites en HTML/CSS, et la partie "fonctionnelle" est en TypeScript, cette dernière permettant des requête HTTP POST vers un fichier PHP héberger sur serveur.

Page Connexion :
Lorsque l'utilisateur entre ses infos, une requête POST est faite vers PHP, qui en se connectant à la BDD, vérifie si l'utilisateur existe bien, et que son mot de passe est correct. A ce stade, les infos ne sont pas cryptées, c'est seulement le fichier PHP qui cryptera le mot de passe reçu en POST avec sha1(), pour vérifier la correspondance du mot de passe déjà crypté dans la BDD.
Si tout est ok, alors PHP récupère dans la BDD le reste des infos, et les stocke dans un objet, puis je stocke l'heure de connexion (fonction time()), et la fin de validité (time() + 3600), dans des variables $timeinit et $timeend.
Ensuite, je veux transformer tout ça en un token undéchiffrable pour un gens malintentionné.
J'exécute une fonction de ce style :

$obj = serialize($obj);
$obj = base64_encode($obj);
$time = $timeinit.'-'.$timeend;
$time = base64_encode($time);

$chaine1 = 'une chaîne de 17 caractères aléatoires';
$chaine2 = 'une chaîne de 12 caractères aléatoires';
$chaine3 = 'une chaîne de 8 caractères aléatoires';

$token = $chaine1.$obj.$chaine2.$time;
$token = base64_encode($token);
$token = $token.$chaine3;
$token = base64_encode($token);

Ensuite, ce token est envoyé en réponse à l'appli, dans le fichier TypeScript. On l'enregistre dans le storage du téléphone, puis on redirige vers la page home.

En arrivant sur la page home, et sur chacune des autres pages de l'appli, on renverra en POST le token stocké dans le téléphone pour qu'un fichier PHP du serveur le décrypte (connaissant la fonction du cryptage), et qu'en fonction des données décodées, ce fichier PHP exécute diverses requêtes avec la BDD, et autres fonctions, afin de retourner à l'appli des infos et du contenu en fonction de l'utilisateur identifié.

Que pensez-vous de cette méthode ? Est-ce sécurisé ? Devrais-je changer quelque chose ?

Enfin, pour la suite de l'utilisation de l'appli, si la validité du token est dépassée ($timeend < new time()), alors comment décider de ressigner le token ? Est-ce que je dois garder les infos, et rajouter du temps (ex. 3600s de plus), ou bien dois-je demander une reconnexion ? Si l'utilisateur a coché 'se souvenir de moi', son login et mot de passes sont stockés dans le téléphone, est-ce viable d'aller les chercher automatiquement pour ressigner le token ?

Enfin, à travers toute cette méthode, pour ce qui est des infos sensibles (n° de Tel, n° de CB,...), y'a-t-il un danger ?

Merci pour votre lecture, et merci d'avance pour vos réponses :)