Un utente con il ruolo "A" richiede un token di accesso al momento t , che scade tra 12 ore; dopo 6 ore, il ruolo "B" è concesso all'utente oltre al ruolo "A".
Il token dovrebbe assegnare il ruolo utente "B", anche se il ruolo non è stato assegnato al momento in cui è stato richiesto il token?
UPDATE Come notato da Mike Scott nella sua risposta, la modifica dei ruoli utente dovrebbe avere effetto immediato. Mi piacerebbe rendere la mia domanda più specifica: quando i ruoli degli utenti cambiano, i token attivi dovrebbero riflettere la modifica che garantisce i ruoli aggiornati se dovessero essere invalidati / revocati?
In altre parole: le autorizzazioni concesse da un token dovrebbero essere immutabili?