// 判断JWT中携带的用户角色是否有权限访问
Mono<AuthorizationDecision> authorizationDecisionMono = mono
.filter(Authentication::isAuthenticated)
.flatMapIterable(Authentication::getAuthorities)
.map(GrantedAuthority::getAuthority)
.any(**authority **-> {
String roleCode = authority.substring(AuthConstant.AUTHORITY_PREFIX.length()); // 用户的角色
if (AuthConstant.ROOT_ROLE_CODE.equals(roleCode)) {
return true; // 如果是超级管理员则放行
}
boolean hasAuthorized = CollectionUtil.isNotEmpty(authorizedRoles) && authorizedRoles.contains(roleCode);
return hasAuthorized;
})
.map(AuthorizationDecision::new)
.defaultIfEmpty(new AuthorizationDecision(false));
代码如上authority 是个角色,是从哪里获取的呢?从token 里面获取吗?
前一阵子才帮人改这个鬼东西 首先得看你是怎么校验token的,我们那个是从认证服务/aouth/check_token去做检验token的,认证服务自己返回用户权限信息,所以这里的数据就是认证服务给的数据,换言之我想要啥就能给啥