java - FusionAuth授权

Question

我正在开发一个 Spring Boot REST API，这个 API 公开了一个“/verify”端点来验证令牌和对某个资源的访问。在 FusionAuth 中，我的用户附加了角色。那么是否有一种方法可以验证用户是否具有该角色以便我可以让他们通过？

Answer 1

在 FusionAuth 中，访问令牌是一个 JWT，其中包含一个 JSON 有效负载，如下所示：

{
  "applicationId": "3c219e58-ed0e-4b18-ad48-f4f92793ae32",
  // ...
  "roles": [
    "necessary_role",
    "other_role"
  ],
  // ...
}

要从 JWT 中获取该 JSON，您可以自己对其进行解码或将其传递给几个将返回可读 JSON 的 FusionAuth 端点之一：

• 内省 /oauth2/introspect
• 用户信息 /oauth2/userinfo
• 证实 /api/jwt/validate

一旦你有了可读的 JSON，你只需要检查roles相关角色的数组：

if (jwt.roles.contains("necessary_role") {
  // handle user with necessary_role
} else {
  // handle user without necessary_role
}