Personal Access Token – Laravel

Cuando genero un token de acceso a través del LOGIN, asigno un tiempo de expiración relativamente corto por seguridad pero pasados este tiempo el token sigue siendo valido. Es decir puedo hacer una llamada a la API desde POSTMAN y me devuelve los valores correctamente sin recibir ningun error de Autenticación.

¿Es esto normal? ¿Debería recibir este error? ¿O debo ejecutar el control en cada uno de los métodos?

Tengo este código en AuthServiceProvider

public function boot() {     $  this->registerPolicies();      Passport::routes();     Passport::personalAccessTokensExpireIn(Carbon::now()->addMinutes(2)); } 

También tengo esto en el LOGIN pero nada, parece que la vida del Token es infinita..

$  user = $  request->user(); $  tokenResult = $  user->createToken('Personal Access Token'); $  token = $  tokenResult->token; $  token->expires_at = Carbon::now()->addMinutes(10);