微服务架构中如何设计权限服务？

Question

在我们的帖子服务中，用户可以删除其帖子或任何具有“ post.delete”权限的帖子。现在，我们将权限列表放入JWT。但这有两个缺点：

1. JWT可能会越来越长。
2. 用户权限更改后，必须使JWT失效。

如果我们将权限检查实现为api网关的过滤器，则我们必须发送两个请求：

1. 要删除用户的帖子吗？（查询帖子服务）
2. 是“ post.delete”用户吗？（查询权限服务） 这也很麻烦。

还有更好的主意吗？