Autenticação de Token para API RESTful: o token deve ser alterado periodicamente?
Estou construindo uma API RESTful com Django edjango-rest-framework.
Como mecanismo de autenticação nós escolhemos "Token Authentication" e eu já o implementei seguindo a documentação do Django-REST-Framework, a questão é, o aplicativo deve renovar / alterar o Token periodicamente e se sim como? Deve ser o aplicativo móvel que exige a renovação do token ou o aplicativo da Web deve fazê-lo de forma autônoma?
Qual é a melhor prática?
Alguém aqui experimentado com o Django REST Framework e poderia sugerir uma solução técnica?
(a última pergunta tem menor prioridade)