As informações sobre as permissões e funções do cliente devem ser incluídas no JWT?
Ter essas informações no token JWT será muito útil, pois sempre que um token válido chega, seria mais fácil extrair as informações sobre a permissão do usuário e não será necessário chamar o banco de dados para o mesmo. Mas incluir essas informações e não verificar as mesmas no banco de dados será um problema de segurança?
Ou,
Informações como a mencionada acima nunca devem fazer parte da JWT, e apenas o banco de dados deve ser usado para verificar as funções de acesso e as permissões de um usuário?