前提・実現したいこと

Webアプリケーションにて、Amazon Cognitoで認証成功時に取得するトークン(特にアクセストークン)から、ユーザグループのグループ情報を取得して、クライアント側でグループ情報の値に応じたアクセス権限チェックを画面遷移時に行う想定でいます。例えば、値 = 「admin」なら管理者用ページの表示OK、値 ≠ 「admin」でなら、エラーページへ遷移という具合です。

発生している問題

上記方針を実現するためには、暗号化されたトークンを複合化する必要があります。わざわざセキュアな状態でストレージに保存したものをクライアント側の都合で（アクセス権限をチェックするためだけに）複合化することに、違和感があります。

質問①

上記方法によるアクセス権限チェックは不適切でしょうか(トークンをこのように使用されることは、Cognitoにとって意図しない方法でしょうか)。

質問②

上記方法がCognitoにとって意図しない方法だったとしたら、ユーザグループのグループはどのような目的があるのでしょうか。

質問③

このWebアプリケーションにはDBがありません。DBがあればユーザーテーブルにアクセスして権限情報を取得・チェックすれば良いのですが、ない場合は、やはり不可能でしょうか。Spring Bootで良い機能があれば紹介していただきたいです。

試したこと

cognitoで設定したグループ情報を返却するAPIは、私が調べた範囲では見つかりませんでした。

補足情報（FW/ツールのバージョンなど）

言語(サーバ側)：Java
言語(クライアント側)：Java Script
フレームワークワーク：Spring Boot
プラットフォーム：AWS