如何在light-4j中定制JWT验证

Question

我们正在使用带有openapi3的light-4j代理服务，并且其中一个api方法需要多个作用域。使用jwt的enableVerifyScope，如果其中一个jwtScopes与任何一个specsScopes匹配，我们就会成功。有没有一种方法可以验证所有需要的作用域，而不仅仅是一个。谢谢!

Answer 1

你有一个非常独特的用例。通常，您可以为端点定义多个作用域，作用域验证将确保传入的JWT至少有一个匹配的作用域才能继续。看起来您需要确保JWT包含所有作用域，以便授予对端点的访问权限。这不是标准实现；但是，很容易定制https://github.com/networknt/light-rest-4j/blob/master/openapi-security/src/main/java/com/networknt/openapi/JwtVerifyHandler.java并替换handler.yml文件中的内置处理程序。在light-4j中，所有的中间件处理程序都可以是插件，因此许多客户都有自己的定制处理程序，特别是在业务领域中的处理程序。如果您对如何将处理程序注入您的应用程序有疑问，请告诉我。