Estou construindo uma API RESTful com Django edjango-rest-framework.

Como mecanismo de autenticação nós escolhemos "Token Authentication" e eu já o implementei seguindo a documentação do Django-REST-Framework, a questão é, o aplicativo deve renovar / alterar o Token periodicamente e se sim como? Deve ser o aplicativo móvel que exige a renovação do token ou o aplicativo da Web deve fazê-lo de forma autônoma?

Qual é a melhor prática?

Alguém aqui experimentado com o Django REST Framework e poderia sugerir uma solução técnica?

(a última pergunta tem menor prioridade)