Токены auth0 для пользовательского доступа к API

Я не могу понять, как у пользователей истекает / обновляется доступ к моему API. Я проследил за быстрым запуском, когда мой SPA отправляет пользователя на экран входа в систему, который затем возвращает пользователя на страницу обратного вызова с токеном доступа и токеном id.

Когда SPA отправляет запросы моему API, он отправляет токен id в заголовке запроса "Authorization" (токен доступа, который получает SPA, не является допустимым JWT), который API проверяет по файлу jwks в моем домене Auth0. При проверке API затем использует поле подписки на токене id, чтобы найти пользователя в своей базе данных.

Это правильный рабочий процесс? Как управляется срок действия токена? Такое чувство, что когда-либо, что делает вызовы к моему API, имеет действительный токен идентификатора, он может делать вызовы бесконечно.