Opa, Daniel! Perdão pela demora!
Por questões de segurança, o ideal é que o token sempre tenha uma data de validade e que não seja tão longa! Exatamente como no caso das sessões em aplicações web monolíticas. Afinal de contas, não queremos que qualquer um a qualquer momento possa utilizar a nossa sessão ( ou no seu caso específico o token ).
Sobre a validade dele, normalmente, já é definido um valor padrão mesmo quando não indicamos explicitamente o valor que queremos! Inclusive, a orientação dada pela própria especificação JWT é que o token tenha validade padrão de no máximo alguns poucos minutos, como pode ser visto aqui! E essa orientação dada tem como motivação justamente a questão que levantei no primeiro parágrafo!
Para saber mais: Caso queira se aprofundar ainda mais na especificação JWT, o link é esse aqui!
Qualquer coisa é só falar!
Grande abraço e bons estudos, meu aluno!