请教一个权限系统设计的问题？

直营店，加盟店，会员，供应商，员工 单独做后台管理。
然后使用前后端分离。 统一请求一个后台后台，在后端再依据请求的账号去判断 对应的权限。这样可以减少很多重复的业务逻辑。当然，有时候适当的重复比在单一业务逻辑 添加各种 权限判断会更好。
写完才发现你说的是以后才有。那就是依据功能进行权限设计就行了。

Table:
-organizations
-permissions
-roles
-users

然后你把直营店／加盟店／供应商分别作为 organization 的不同 type
然后 under each organization, 设立不同的 role ，比如说 admin/manager/user/customer/...
然后 map each role with different permissions ，可以用 wildercard 作为 permission check ，比如 VIEW${服务的名字}$ALL, VIEW${服务的名字}$SELF
然后给每个 actual 的 user assign role 就好了，我觉得这样比较 scalable....

关系的话
organizations >--organizations_roles--< roles
roles >--roles_users---< users
permission >---roles_permissions--< roles

How so?

都是哪些人会用这些权限？区分清楚人了，才好说权限

跟我们现在做的系统差不多，每个子系统权限都是独立的，用户访问 api 通过 jwt 中的信息去判断是否有权限

@zhuf RESTFul 有一个问题想请教， RESTFul 风格的 API 通常要设计成无状态的，那么 JWT 是否需要持久化在服务器中（比如 Redis ）。
既然是无状态的，那么 Server 端就不应该将 Token 保存到 Session 或数据库中，那么如何能保证一个用户在一段时间只能有一个 Token 是可用的？

搜索 RBAC

通常就是 RBAC 模型进行拓展 ,不要脸做个广告 ,哈哈 , 看看我刚推送上去的代码? 里面有 powerdesigner 模型文件,完整的权限实现 .代码略渣凑合看看
https://git.oschina.net/ouyangan/hunt-admin
https://github.com/Ouyangan/hunt-admin

@mynameisny 把某些信息加密（比如 RSA ）后发给客户端当令牌，比如每次登录都有个登录时间之类的，判断是否有效就是判断令牌里保存的时间戳是不是晚于最近登录时间。另外无状态应该指的是会话状态由客户端负责维护而不是不保存状态。