Yo prefiero revisar cada vez que el usuario entra, sin embargo si el sistema lo estás implementando para algo no muy confidencial puedes guardarlas y requerir el SESSION sin hacer la consulta a la db, depende el objetivo de tu proyecto, sabes por ejemplo que cuando se manejan datos de tarjetas de credito la transferencia de dichos datos se realizan por https:// y no http:// ya que el primero encripta de cliente -> servidor, te repito, dependo lo que manejes, un saludo.