В нагрузке токена хранить идентификатор пользователя и идентификатор устройства. При получении запроса на обновление, проверять токен на валидность, доставать из него идентификаторы, искать в базе запись для этих идентификаторов и сравнивать полученный из базы токен с токеном от пользователя.
