JWT（JSON Web Token）通常包含三部分：头部（Header）、载荷（Payload）和签名（Signature）。在载荷中，可以定义一个自定义的claim，比如permissions或roles，来表示用户的具体权限。

验证JWT中的权限一般包括以下几个步骤：

1. 解析JWT：首先需要从请求头（通常是Authorization，格式为Bearer + 空格 + token）中获取JWT，然后将其解码以获取载荷中的信息。

javascript var jwt = require('jsonwebtoken'); var decoded = jwt.verify(token, secretOrPublicKey);

1. 验证权限：在解码后的payload中查找代表权限的部分。例如：

javascript if (decoded.permissions.includes('read')) { // 具有读取权限 } else if (decoded.roles.includes('admin')) { // 是管理员角色，具有所有权限 }

1. 在服务器端，根据路由或者操作所需的权限级别，对比JWT中声明的权限进行判断，决定是否允许该操作。

注意：JWT本身并不提供权限管理的功能，它只是作为一种安全的数据传输机制，将权限信息加密并传递给服务端，服务端需要自己实现权限验证逻辑。同时，由于JWT一旦签发无法撤销，因此对于需要动态调整权限的情况，可能需要结合其他机制如OAuth 2.0等实现。