关于json+web+token的几个小问题

现在已经实现的token认证方式是用户登录时提交用户名密码，然后服务器根据用户名密码判断登录成功后，生成一个短生命周期的token（里面包含有用户ID），客户端拿到这个token后，每次请求时都带上这个token，服务器验证这个token，如果验证有效就返回数据。
现在想确认3个事情：
1：在验证成功后，是否需要立即更新这个token的生命周期？
2：考虑到黑客既然能窃取到cookie，哪自然也能窃取到token，哪安全性怎么保证？
3：如果要实现客户端自动登录，需要怎么做？是否在生成token的时候也必须把密码也包含进去，哪这样做的话怎样才能保证密码的安全？