модуль auth сам делает refresh токена ( если у него истёк срок ).
Он обращается к твоему бэку по /api/auth/refresh
Бэк должен отдавать json типа:
{ token: 'new_token' }
Вот так это выглядит:
---
Так же при авторизации пользователя ты должен отдавать два токена:
1) сам токен
2) refresh_token
---
вот видосик, где это хорошо описано:
https://www.youtube.com/watch?v=mbsmsi7l3r4