ASP.NET标识-令牌总是有效的吗?(如果是，它们的安全性如何?)

背景：

我有一个移动应用程序，为后端web API存储用户asp.net身份令牌（加密）。

我发现自己的调试数据库完全损坏了，所以我删除了它，并使用Migrations重新创建了它。作为Seed()方法的一部分，数据库由一个用户填充，该用户与最后一个用户具有相同的凭据，只是具有不同的ID和安全戳。

我发现，如果我使用现在已删除的用户的令牌向API发送任何HTTP请求，而不将新用户登录，则web API仍然授予我身份验证。

此外，如果我对当前用户调用任何Identity函数，例如HttpContext.Current.User.Identity.GetUserId();，则会返回旧用户信息。

问题：

只要代币没有过期，它会一直有效吗？-即使用户已被删除/注销？

（经过更多的挖掘，我注意到将用户注销，然后使用旧令牌发送新请求仍然有效）。

如果这是故意的，怎么安全？（作为开发者，我应该做些什么来撤销代币吗？）