Я новичок в безопасности веб-API и у меня очень простой вопрос. В настоящее время я изучаю аутентификацию и авторизацию на основе токенов с использованием JWT, который генерирует токены на основе имени пользователя и ролей, доступных для конкретного пользователя в системе.
Для проверки входящего токена я использую фильтр авторизации, который проверяет,токен имеет утверждения с ролями, разрешенными для контроллера или метода действия, украшенного фильтром
Это правильный способ сделать это? Или токены должны быть сгенерированы для каждой роли?