Eu tenho um nodejs api com um frontend angular. A API está usando com sucesso o JWT com passaporte para proteger seus pontos finais.

Agora, estou consciente de que, após a expiração dos tokens, meu front-end ainda permitirá que o usuário solicite meus pontos de extremidade da API sem solicitar que reinsira seus detalhes de logon para obter um novo token.

É assim que meu back-end gera o token:

function generateToken(user) {
  return jwt.sign(user, secret, {
    expiresIn: 10080 // in seconds
  });
}

Portanto, para implementar essa lógica, acho que preciso verificar o token JWT do lado do cliente. Q1, essa é uma abordagem sensata.

Q2, oJWT biblioteca que estou usando parece exigir uma chave pública para usá-loverify() função. Parece que não tenho uma chave pública, apenas um segredo, que acabei de inventar, por isso não foi gerado com um par. De onde vem minha chave pública ou existe outra maneira de verificar meu token sem isso?

Tudo isso parece óbvio e que eu perdi alguma coisa, então peço desculpas se esta for uma pergunta estúpida, mas não consigo encontrar a resposta?