In Reply to @gptcrosa @esacrosa Si el cliente va a estar mandando secretos por cada vez que le expire el token casi que te conviene autenticación tradicional y si solo es para claims basicos capaz podes tirarle el fardo a algo como auth0 que se encargue de la parte engorrosa