初用JWT，请教更新 token 的合适时机

我初用 Node 做后台，使用了 JWt，因为欠缺经验，有些疑惑，想请教大家。

token 包含内容：

{
    id,
    username,
    avatar,
    email
  }

目前后台会在以下情况返回新的 token：
注册、登陆、修改资料。

用户修改头像不需要二步验证，所以只要有 token 就行。
现在我在想，如果用户的 token 被盗的话，窃贼可以依据 token 修改头像，并获得新的合法 token，只要其在过期时间（1小时）内修改一次，他就一直可以使用这个用户的身份。

如果修改资料时不更新 token 的话，token 过期后就只能重新登陆获取 token，这样是不是更安全呢？

在实际使用中，除了登陆注册，应不应该让其他一些操作也可以获得新的 token 呢？如果有的话，有哪些情景呢？求教，谢谢大家~