Можно определить максимальное время жизни токена. И в момент активности пользователя это время обновлять. Вообще token-based авторизацию принято делать для доступа к закрытой системе без ввода логина/пароля. Типичный пример это какое то внешнее приложение, которое хочет использовать ваш доступ к системе но вот l/p этому приложению передавать небезопасно.