Tengo una aplicación web sin estado que utiliza un token JWT. Eventualmente vencerá, lo cual está bien, pero no quiero que caduque mientras el usuario está trabajando . En cambio, me gustaría que el token caduque después de un cierto tiempo de inactividad.
Digamos que mi token es válido por 60 minutos. ¿Puedo enviar un nuevo JWT en cada solicitud? De esa manera, mientras el usuario esté trabajando, su token será renovado (siempre que ya que hace una solicitud por hora), pero después de más de una hora de inactividad, el token caducará.
No quiero usar tokens de actualización con estado. Un temporizador en el lado del cliente eventualmente eliminaría el token tan pronto como caduque.
¿Me estoy perdiendo una falla importante con este enfoque? (excepto los impactos evidentes en el rendimiento debido a los accesos a bases de datos más frecuentes)