mas depende muito da tua aplicação, imagina se o chatgpt faz apenas no login a quantidade de "dinheiro" que é perdida?
Se tua aplicação foi feita para o usuário não deslogar, já tem que pensar em uma nova resolução, acredito que validar quando chamar algum serviço é bom, mas deixar a validação apenas no login fica meio que uma quebra de segurança. A não ser que tu implemente um tempo limite do token de autenticação de 3H, coisa assim.
exato! você pode validar no middleware também! chamando a mesma rota para validar o acesso do usuário, além de aproveitar e devolver o usuário atualizado para o front tbm! cada caso é um caso