Windows erzeugt das Token auch nur bei der Anmeldung neu, deshalb kannst du es auch bei Programmstart laden.
Nachteil:
Ändern sich Rechte, werden diese nicht sofort übernommen.

In meinen Anwendungen nutze ich die Rechteverwaltung von Windows.
Ich schaue ob ein User in bestimmten Sicherheitsgruppen ist.
Diesen Sicherheitsgruppen, lassen sich in meiner Datenbank dann Rechte zuordnen.

Vorteil: Die Admins brauchen nur zu wissen, welche Windowssicherheitsgruppe was erlaubt. Internen Aufbau oder Pflege in der Fachanwendung sind nicht erforderlich.

Diese Modelle setzen vorraus, das der User Zugriff auf die Datenbank hat.
Nachteil: mit einen Sniffer könnte der User die Datenbank (inkl. user/pass) rausfinden und mit Tools sich die Daten anschauen.

2 Möglichkeiten
1)
- die Datenbank prüft alle Rechte über Storedproceduren.
- auf Tabellen wird kein Zugriff gewährt

2)
- du baust einen Dienst/Webservice dazwischen, welcher die Daten filtert und liefert.
- ggf. mit Kerberosauthentifizierung um an das Token des Users zu kommen.