Akcja dzieje się w pracy, w sumie stażysta się mnie zapytał, to musiałam poszukać. Token, ustawiony na krótki czas (wyrażony w sekundach) nie wygasa i api puszcza request zamiast rzucić unauthorized na twarz. Rozwiązanie jest proste, zostawiam dla potomnych, albo dla siebie w przyszłości.
var validationParameters = new TokenValidationParameters {
ValidateIssuer = true,
ValidIssuer = issuer,
ValidateAudience = true,
ValidAudience = audience
ValidateIssuerSigningKey = true,
IssuerSigningKeys = signingKeys,
ValidateLifetime = true,
ClockSkew = TimeSpan.Zero //to dodaj
}; //to co przypisujemy do item.TokenValidationParameters w AddJwtBearer