前置き

Auth0を利用して、ブラウザベースのWebアプリケーションの認証を実装しようとしていますが、
以下の点について疑問を感じています。ご助言いただければ幸いです。

質問１：セッション管理は自らで行うという認識であっていますか。

【参考】

• Auth0 Docs　Quickstarts -> Regular Web App -> Python

参考にしたドキュメントでは、Auth0認証からのコールバックリクエスト時に
セッションIDを発行し、cookieに登録させていると思います。
以下のようなセッション管理は自らで実装するということでしょうか。

• 発行したセッションIDとそれに紐づくユーザー情報をDBで管理する。
• Webアプリケーションからのアクセス時、セッションIDを検証する。
• またセッションIDの更新なども行う。

質問２：SPAの場合、IDトークンの有効期限時にはアプリが中断するのでしょうか。

質問１の状況では、私の認識があっている場合、アクセスを行っている限り、セッションIDを
更新し続けるため、アプリケーションを利用し続けることができると思います。

【参考】
0. Auth0 Docs　Authenticate Single-Page Apps With Cookies
0. Auth0 Docs　Implicit Flow with Form Post

参考１のフローの場合、ログイン時のみForm PostされたIDトークンをブラウザのcookieへ
登録させることができると思います。
参考１「Invalid or missing cookies」に記載の通り、cookieのIDトークンが有効期限切れ
の場合、認証画面へリダイレクトさせると思います。つまり毎回アプリケーションが中断して、
ホーム画面へリダイレクトされてしまうのでしょうか。