Dovrei controllare se il token è valido ogni volta che un utente naviga sulla mia app?

Questo dipende.

Se hai bisogno del token per l'autenticazione e gli utenti non autenticati non possono accedere a nulla, dovresti verificarne la validità per ogni richiesta.

Se controlli il token solo quando hai bisogno di una parte delle informazioni da esso - e stai bene con l'accesso anonimo a tutti gli altri siti, non è necessario controllarlo ad ogni richiesta.

Tieni presente che è facile dimenticare di controllare il token quando non hai bisogno di informazioni, ma vuoi limitare l'accesso per gli utenti che hanno effettuato l'accesso, quindi controllare il token tutto il tempo sembra una buona idea, soprattutto dal momento che sembri implicare che ogni richiesta dovrebbe avere un token.

I second @ Risposta di SmokeDispenser.

Non ci hai detto quale contenuto stai inserendo nella JWN, ma in generale un JWT fornisce due elementi:

1. Prova che si tratta di un utente autenticato e registrato.

2. Contiene le informazioni utilizzate per imporre le regole ACL (Access Control List), ossia la possibilità di chiedere "È consentito a questo utente visualizzare / modificare questa risorsa?".

Quindi vorrei capovolgere la domanda e chiedere ogni API o tipo di richiesta:

Does the server need to know the identity of the user in order to handle this request?

Per una chiamata API completamente pubblica (nessuna autenticazione richiesta), quindi No , non hai motivo di controllare il JWT.

Per tutti gli altri casi, dovresti restituire 403 Proibito se qualcuno che non ha effettuato l'accesso prova ad accedervi. Quindi Sì , devi controllare la JWT con ogni richiesta; come minimo che il JWT non sia scaduto, e possibilmente anche che questo utente abbia il permesso di accedere a questa risorsa.