Haruskah informasi tentang izin dan peran klien dimasukkan dalam JWT?
Memiliki informasi seperti itu di token JWT akan sangat membantu karena setiap kali token yang valid datang, akan lebih mudah untuk mengekstrak informasi tentang izin tentang pengguna dan tidak perlu menghubungi database untuk hal yang sama. Tetapi apakah memasukkan informasi seperti itu dan tidak memeriksa dua kali di database akan menjadi masalah keamanan?
Atau,
Informasi seperti yang disebutkan di atas seharusnya tidak menjadi bagian dari JWT, dan hanya database yang harus digunakan untuk memeriksa peran akses dan izin pengguna?