Les informations sur les autorisations et les rôles du client doivent-elles être incluses dans JWT?
Avoir de telles informations dans le jeton JWT sera très utile car à chaque fois qu'un jeton valide arrive, il serait plus facile d'extraire les informations sur l'autorisation de l'utilisateur et il ne sera pas nécessaire d'appeler la base de données pour la même chose. Mais le fait d'inclure de telles informations et de ne pas les vérifier dans la base de données sera-t-il un problème de sécurité?
Ou,
Des informations comme celles mentionnées ci-dessus ne devraient jamais faire partie de JWT, et seule la base de données devrait être utilisée pour vérifier les rôles d'accès et les autorisations d'un utilisateur.