在Quarkus中使用@RolesAllowed进行自定义JWT验证，而不使用smallrye-jwt

，可以通过以下步骤实现：

首先，确保你已经在Quarkus项目中添加了相应的依赖。在pom.xml文件中添加以下依赖：

<dependency>
    <groupId>io.quarkus</groupId>
    <artifactId>quarkus-smallrye-jwt</artifactId>
</dependency>

创建一个自定义的JWT验证类，用于验证JWT的角色。你可以使用Quarkus的@RolesAllowed注解来标记需要进行角色验证的方法或资源。

import javax.annotation.security.RolesAllowed;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.core.Response;

@Path("/api")
public class MyResource {

    @GET
    @Path("/secured")
    @RolesAllowed("admin")
    public Response securedEndpoint() {
        // 处理受保护的逻辑
        return Response.ok("Secured endpoint").build();
    }
}

在上面的例子中，securedEndpoint()方法被标记为需要"admin"角色才能访问。

创建一个自定义的JWT验证器，用于验证JWT的有效性和角色。你可以实现io.quarkus.smallrye.jwt.runtime.auth.JWTAuthMechanism接口，并重写validateToken()方法来自定义验证逻辑。

import io.quarkus.smallrye.jwt.runtime.auth.JWTAuthMechanism;
import io.smallrye.jwt.auth.principal.JWTCallerPrincipal;
import org.eclipse.microprofile.jwt.JsonWebToken;

import javax.enterprise.context.ApplicationScoped;
import javax.inject.Inject;
import javax.ws.rs.core.SecurityContext;

@ApplicationScoped
public class CustomJWTAuthMechanism implements JWTAuthMechanism {

    @Inject
    JsonWebToken jwt;

    @Override
    public void validateToken(SecurityContext securityContext) {
        if (jwt == null || !jwt.getGroups().contains("admin")) {
            throw new SecurityException("Unauthorized");
        }
    }
}

在上面的例子中，我们通过检查JWT中的角色是否包含"admin"来验证用户的权限。

在application.properties文件中配置JWT验证相关的属性。你可以指定JWT的签名密钥、颁发者、受众等属性。

quarkus.smallrye-jwt.enabled=false
quarkus.jwt.sign.key.location=privateKey.pem
quarkus.jwt.verify.key.location=publicKey.pem
quarkus.jwt.issuer=my-issuer
quarkus.jwt.audience=my-audience

在上面的例子中，我们禁用了Quarkus默认的smallrye-jwt验证，并指定了JWT的签名密钥、颁发者和受众。