entendi, como não tenho muita experiência com APIs e tokens como você usa eles? tem alguma maneira específica? tem alguma norma ou boa prática para isso?
Pelo o que pesquisei consegui colocar o token do JWT para gerar de 1 em 1 hora seria o ideal? ou mais rápido/lento?
Isso vai depender do que voce quer fazer. Colocar a renovação de uma em uma hora vai diminuir o impacto de um token vazado por exemplo,mas vai exigir que o desenvolvedor de consuma sua API se autentique mais vezes podendo diminuir o desempenho da aplicação dele. Normalmente deixo válido por 24 horas considerando que minhas aplicações todas seguem as mais atualizadas técnicas de segurança e boas práticas de desenvolvimento.
entendido, obg pelo conselho vou aplicar aqui.