1.在登录成功后，生成一个token并返回给前端。可以使用jsonwebtoken等库生成token，示例代码如下：

const jwt = require('jsonwebtoken');
const token = jwt.sign({ username }, secretKey, { expiresIn: '1h' });

2.在每个需要权限验证的路由上添加middleware，验证token是否有效。例如，创建一个auth.middleware.js文件，内容如下：

const jwt = require('jsonwebtoken');
const secretKey = 'your_secret_key'; // 需要与生成token时使用的secretKey一致

module.exports = () => {
  return async function authMiddleware(ctx, next) {
    const { authorization } = ctx.headers;
    if (!authorization) {
      ctx.status = 401;
      ctx.body = {
        message: '未提供Token',
      };
      return;
    }
    const token = authorization.split(' ')[1];
    try {
      const decoded = jwt.verify(token, secretKey);
      ctx.state.user = decoded;
      await next();
    } catch (err) {
      ctx.status = 401;
      ctx.body = {
        message: 'Token无效',
      };
    }
  };
};

3.在路由上使用middleware，例如：

module.exports = app => {
  const { router, controller, middleware } = app;
  const authMiddleware = middleware.auth();

  router.get('/api/users', authMiddleware, controller.user.list);
  router.post('/api/users', authMiddleware, controller.user.create);
  router.put('/api/users/:id', authMiddleware, controller.user.update);
  router.delete('/api/users/:id', authMiddleware, controller.user.delete);
};

上述代码中，每个路由都使用了authMiddleware中间件进行token验证。如果token验证通过，则会将用户信息放在ctx.state.user中，后续的处理可以使用该用户信息。

通过上述步骤，就可以使用token结合路由完成权限验证，只有在token验证通过的情况下才能访问受保护的路由。