skewЭто понятно, но у системы столько автоматических проверок, а проверить то, что пользователь больше не имеет какой-то из ролей система не может, нужно всю это автоматизацию получается перегонять в ручную проверку. Хотя казалось бы вопрос тривиален
каким образом асп может это за вас автоматизировать если данные о доступных ролях находятся у вас в базе? Хотите мгновенной отмены прав - не кэшируйте клеймы в куках/токенах, и доставайте их на каждый запрос из базы или сессии. Только это прошлый век, сейчас именно что клеймы кэшируются т.к. в сочетании с токенами это дает массу преимуществ в современных системах. Помимо проблем типа "отозвал право, а оно все еще в куке" возможны куда более проблематичные сценарии, когда токен украден и хакер может делать что угодно от лица пользователя. Поэтому время их жизни делают максимально коротким, по-сути это все, что можно сделать.

skewа потом бац и он стал врагом, вы быстро лишаете его прав админа, а он за эти 10 минут грохает все, что у вас накопилось за 5 лет работы :)
он врагом стал непременно с момента, когда вы галочку поставили? Когда человека увольняют, то ему мгновенно перекрывают доступ к рабочему компьютеру и отзывают все права, стандартная практика в большинстве компаний