Надо отдавать JWT-токен. У него есть такое понятие, как время жизни - после истечения которого токен перестанет быть валидным. Это правильно с точки зрения безопасности.
Как это можно решить. Для этого можно использовать такое понятие как refresh token. Т.е. отдаете совместно с JWT еще и Refresh Token, ассоциированный с JWT (к примеру, сохраненный в БД). По данному refresh token-у можно перезапросить новый токен для данного пользователя и спокойно работать дальше.
