Reforço de segurança de sessão
Suspender um usuário agora encerra a sessão dele na hora, em vez de esperar o login seguinte. Pequeno em código, importante para o controle de acesso.
O que mudou
Suspender um usuário que já está logado agora encerra a sessão dele de imediato. A família de refresh tokens daquele usuário é revogada, então o acesso residual fica limitado, no máximo, à validade do token de acesso que ainda estava em mãos, minutos, não a vida inteira da sessão.
Por que isso importa
"Suspender" precisa significar suspenso agora. Quando um operador desativa um usuário, a expectativa é óbvia: aquela pessoa perde o acesso. Um sistema que só aplica a suspensão no próximo login deixa uma janela em que alguém já marcado como suspenso continua trabalhando.
Esta versão fecha essa janela. A verificação de status, que antes existia só no caminho de login, passa a valer também na renovação da sessão. O resultado é um comportamento que corresponde à intenção: suspendeu, acabou.
O contexto maior
Mudanças de segurança como esta raramente são grandes em linhas de código, esta é minúscula. O que importa é a garantia que ela estabelece. Cada versão do SDK aperta a distância entre o que o controle de acesso promete e o que ele faz, e essa é uma das que tornam a promessa literal.