Le informazioni su autorizzazioni e ruoli del client devono essere incluse in JWT?
Avere tali informazioni nel token JWT sarà molto utile poiché ogni volta che arriva un token valido, sarebbe più semplice estrarre le informazioni sull'autorizzazione dell'utente e non sarà necessario chiamare il database per lo stesso. Ma includere tali informazioni e non ricontrollare le stesse nel database sarà un problema di sicurezza?
O,
Informazioni come quella sopra menzionata non dovrebbero mai far parte di JWT e solo il database dovrebbe essere utilizzato per controllare i ruoli di accesso e le autorizzazioni di un utente?