JWT 질문

안녕하세요.

JWT 강의를 듣고 이것저것 찾아보는 중 궁금점이 하나 생겼습니다.

강의 해 주신 내용을 보고 일단 제가 이해한 내용은 로그인을 하면 해당 유저에 해당하는 권한들을 JWT payload에 auth 라는 claim으로 실어서 보낸다음, 요청시마다 payload에 실려있는 권한들을 따로 정의한 필터를 통해 확인하는 것이 맞나요?

그러면 매 접근마다 DB를 통해서 해당 사용자의 권한이 무엇인지 조회할 필요가 없어서 좋을 것 같다고 느꼇습니다.

여기서 몇 가지 질문입니다.

1. 만약 로그인이 되어있는 도중, 어떠한 조건이나 관리자에 의해 서버에서 권한이 변경된 경우에는 토큰에 해당 정보를 반영하지 못하게 되는데, 그러면 로그인을 다시해서 권한정보들을 다시 담을 수 밖에 없는건가요? (로그아웃 후 로그인을 다시 하지 않는이상 기존 권한에 대한 접근이 허용되므로 서버측 의도와는 다르게 동작할 수 있을 것 같음) 그리고, 토큰자체에 권한정보가 대놓고 들어있어서 문제가 될 것 같기도 합니다.

2. 강의에선 사용자의 이름을 담으셨는데, 이름이나 메일 말고 DB에 저장된 기본키(순서번호 또는 UUID)를 담아서 사용해도 문제가 없으려나요???

3. 1번의 문제점을 없애려면  일단 jwt에 권한정보를 넣지 말고, 사용자에 대한 고유정보(email이나 id값 등)만 담은 뒤,  토큰이 있기만 하면 일단 요청을 받고나서 각 서비스쪽에서 DB에서 권한을 조회한다면 1번문제점은 사라질탠데, 이러면 결국 요청마다 DB를 검사해야 한다는 단점이 있겠죠? -> 실제 현업에서도 토큰에 고유ID와 권한정보도 말아넣어서 권한에 대한 DB조회를 최소화하는지 궁금합니다.

4. SecurityContextHolder 라는것을 코드에서 쓰셨는데, 찾아보니 세션처럼 메모리상에 있는 것이더라구요.
그럼 세션처럼 들어온 토큰에 대한 사용자정보가 저장되는건가요?(한 요청에 대해서만 살아있는 컨텍스트인지, 세션처럼 유지되는 요청 토큰에 대해 매핑되서 유지가 되는지)
세션처럼 유지된다면 Context 홀더를 쓰면 3번 방법처럼 토큰에 권한정보를 담지 않아도 토큰을 보고 정상 토큰이면 일단 필터를 거친 후, 컨트롤러나 서비스에서 이미 컨텍스트에 있는 토큰에 대한 사용자정보를 쓰는게 가능하겠네요? (최초요청 시 컨텍스트의 인증정보 내에 DB의 사용자 정보(권한 등)를 조회해서 넣어 놓았고, 세션처럼 토큰에 대한 컨텍스트가 유지된다는 가정)