配置Spring Security以基于提取的用户角色保护您的端点。您可以在WebSecurityConfigurerAdapter类中使用@PreAuthorize注解或配置安全规则：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/secure-endpoint").hasRole("ROLE_USER")
                .antMatchers("/admin-endpoint").hasRole("ROLE_ADMIN")
                .anyRequest().permitAll()
                .and()
            .oauth2Login()
                .and()
            .csrf().disable();
    }
}

上面我们使用hasRole来限制对特定角色的访问。确保从JWT令牌中提取的角色名称与安全配置中定义的角色相匹配。

要在Angular应用程序中基于从Google OAuth获得的角色或范围限制对Spring端点的访问，请执行以下步骤：
向Spring服务器上的JWT令牌添加自定义声明（如“scopes”），以表示用户角色或权限。
配置Spring Security以使用这些角色或作用域来控制对端点的访问。使用antMatchers指定每个端点需要哪些角色。
确保您的Angular应用程序将JWT令牌与每个请求一起发送到Spring后端，通常通过安全地存储它并将其包含在Authorization头中。
在解析令牌时，将JWT令牌中的“scopes”声明中的角色或范围Map到实际的SpringSecurity角色或权限。
使用Spring Security annotations（如@PreAuthorize）保护您的端点，或者基于角色或权限在方法级别配置安全性以限制访问。

我不会把角色放在JWT内部。当您添加非不可变的数据时，如果用户角色发生更改，会发生什么情况？你什么时候更新不在你服务器上的JWT？您必须添加一些更新逻辑和代码，以便在用户每次返回时检查新角色。使用MJM在他的回答中提到的声明可以做到这一点，但是如果角色更改在应用程序中有价值，那么它会有严重的缺点。请参阅此主题的辩论-> Is setting Roles in JWT a best practice?

更坚固的设计（IMO）

JWT通过不使用cookie查找来节省您到数据库的往返行程，但这并不意味着将所有内容都放入其中。将可变数据（如角色）放入DB中，并使用来自JWT的userId查找角色。如果你愿意学习一个非常标准化和流行的框架，那么我建议你学习Spring Security。它附带了很多安全工具，比如“记住我”，还有很多在线教程和视频。它支持JWT集成和角色。您可以标记您的控制器允许访问它们的角色，并在幕后为您处理授权/错误重定向....如果您决定仍然将角色放在JWT中，则只需搜索SDK中的“声明”以将自定义属性添加到您的jwt中，然后使用Spring Security JWT集成，以便您可以保护您的控制器，如下面的示例所示。

Spring安全示例

@Controller
@Secured("ROLE_SAMURAI")
class AdminController

参考资料

这个网站是一个良好的开端。他们有许多其他Spring Security教程-> https://www.baeldung.com/spring-security-oauth-jwt