API网关是一个接收请求并将其路由到适当的后端服务的中间层。在授权方面，API网关可以根据调用者的策略来授予或拒绝权限。

以下是一个使用Node.js和Express框架的示例，展示如何根据调用者的策略授予权限：

const express = require('express');
const app = express();

// 模拟调用者的策略
const callerPolicies = {
  'caller1': ['read', 'write'],
  'caller2': ['read']
};

// API网关的路由处理器
app.get('/api/data', (req, res) => {
  const caller = req.headers['caller']; // 从请求头中获取调用者信息
  const requiredPermissions = ['read']; // 需要的权限

  if (callerPolicies.hasOwnProperty(caller)) {
    const callerPermissions = callerPolicies[caller];

    // 检查调用者是否具有所需的权限
    const hasPermission = requiredPermissions.every(permission => {
      return callerPermissions.includes(permission);
    });

    if (hasPermission) {
      // 授予访问权限
      res.status(200).json({ message: 'Authorized to access data' });
    } else {
      // 拒绝访问权限
      res.status(403).json({ message: 'Access denied' });
    }
  } else {
    // 未找到调用者的策略
    res.status(401).json({ message: 'Unauthorized' });
  }
});

// 启动服务器
app.listen(3000, () => {
  console.log('Server is running on port 3000');
});

在上述示例中，我们模拟了调用者的策略（callerPolicies对象），其中包含了两个调用者（caller1和caller2）以及它们的权限。API网关的路由处理器通过检查调用者的策略来确定是否授予访问权限：首先，它从请求头中获取调用者信息，并提取所需的权限。然后，它检查调用者是否具有所需的权限，如果有，则授予访问权限；如果没有，则拒绝访问权限。如果调用者的策略在callerPolicies对象中不存在，则返回未经授权的状态。

请注意，这只是一个简单的示例，实际的实现可能会更加复杂。此外，使用真实的身份验证和授权机制（例如OAuth）来处理调用者策略更为安全和可扩展。