refresh token. Как лучше обновлять его?

Интересует вопрос, как правильно обновлять jwt? Как работает jwt я понимаю, но вот как лучше его обновлять, нет. В данный момент у меня происходит обновления(и сохранение токена в redux), И при вызове какого либо запроса на api сервера, происходит первоначальная проверка на истечение действия jwt. Если jwt истек,то я посылаю запрос на сервер на его обновление, если refresh-token валиден,то все работает отлично и высылается новый jwt и обновляется refresh-token, иначе, сервер посылает пустую json строку {jwt: null} и происходит переход на страницу авторизации. Если все предыдущие действия прошли нормально, то мы имеем доступ к api.

Правильный ли это подход? Если нет, то как лучше его организовать?

Так же вопрос по websocket. Как будет происходить проверка там? Не ужели по такому же принципу (если он верен), просто в таком случае, злоумышленник может получить доступ до истечения jwt токена к websocket, и если он будет вести себя "пассивно", то сможет просматривать сообщения которые будут обновляться по мере обновления в бд. Какую лучше всего логику организовать в данном случае?