我正在尝试在restapi（expressjs/mysql）中对用户实现细粒度/细粒度权限。
我的web应用程序包含成员组。每个成员组都有一个管理员（用户）。
我认为jwt在这里不起作用，因为当声明存储在users jwt令牌中时，如果组的管理员更改了，那么老用户可能仍然对其令牌拥有无效的声明。
例如：
user1成为组g1的管理员
user1具有允许对组g1执行管理操作的token1。
user2成为组g1的新管理员。
user1的令牌仍然有效，并且包含允许对group1执行管理操作的声明。
如何在nodejs中实现每个对象级别的授权机制，其中用户->对对象执行操作->操作？
passportjs处理身份验证，但我找不到关于实现具有上述复杂性的授权的好信息。
将权限信息存储在数据库中并查询数据库并执行授权验证有意义吗？