Un usuario con rol "A" solicita un token de acceso en el momento t , que expira en 12 horas; después de 6 horas, el rol "B" se otorga al usuario además del rol "A".
¿Debería el token otorgar el rol de usuario "B", incluso si el rol no se otorgó en el momento en que se solicitó el token?
ACTUALIZACIÓN Como Mike Scott notó en su respuesta, el cambio en los roles de los usuarios debería tener efecto inmediatamente. Me gustaría que mi pregunta sea más específica: cuando cambian los roles de los usuarios, ¿deberían los tokens activos reflejar el cambio que otorga los roles actualizados en caso de que sean invalidados / revocados?
En otras palabras: ¿deberían ser inmutables las autoridades otorgadas por un token?