在使用JWT（JSON Web Token）时，确实存在一个安全性问题，即一个令牌可以访问所有资源。这是因为JWT是无状态的，服务器不会存储任何关于令牌的信息，因此无法对令牌进行撤销或限制令牌的范围。

为了解决这个问题，可以使用基于权限的访问控制（RBAC）模型来限制令牌的访问权限。RBAC模型基于用户的角色和权限来控制对资源的访问。

下面是一个使用Node.js实现RBAC模型的示例代码：

// 用户角色定义
const roles = {
  admin: 'admin',
  user: 'user',
};

// 资源权限定义
const permissions = {
  create: 'create',
  read: 'read',
  update: 'update',
  delete: 'delete',
};

// 用户角色和权限映射关系
const rolePermissions = {
  [roles.admin]: [permissions.create, permissions.read, permissions.update, permissions.delete],
  [roles.user]: [permissions.read],
};

// 验证令牌权限
function validateToken(token, requiredPermission) {
  // 解码令牌获取用户角色
  const decodedToken = decodeJWT(token);
  const userRole = decodedToken.role;

  // 检查用户角色是否具有所需权限
  const userPermissions = rolePermissions[userRole];
  if (userPermissions.includes(requiredPermission)) {
    return true;
  }

  return false;
}

// 示例使用
app.get('/api/resource', (req, res) => {
  const token = req.headers.authorization;

  // 验证令牌是否具有读取资源的权限
  if (validateToken(token, permissions.read)) {
    // 返回资源数据
    res.json({ data: 'Resource data' });
  } else {
    // 没有权限，返回错误消息
    res.status(403).json({ error: 'Unauthorized' });
  }
});

在上面的示例中，我们首先定义了用户角色和资源权限的映射关系。然后，我们使用validateToken函数来验证令牌是否具有所需的权限。最后，在需要限制访问权限的路由中，我们验证令牌的权限，如果令牌具有所需权限，则允许访问资源，否则返回错误消息。

需要注意的是，上述示例只是一种简单的RBAC实现方式，实际应用中可能需要更复杂的权限管理系统。同时，仍然需要确保在生成和验证JWT时使用安全的实践，如使用密钥进行签名和验证令牌等。

总结起来，通过使用RBAC模型，我们可以限制令牌的访问权限，从而解决JWT安全性问题中的一个令牌可以访问所有资源的问题。