上一篇说了认证，通过令牌可以知道当前用户是谁，并把令牌信息从网关到微服务，以及微服务与微服务之间传递用户上下文的信息，这一篇来聊一下授权。 一、最简单的情况ACL权限控制 用户有哪些权限直接在scope里写着，只要在程序里判断一下要访问某个方法，是否有访问权限就可以了这种适用于权限简单的场景 ...

限流的改造。 同样注意，不要声明成Spring的Bean 在上面声明Rateliiter 如果能获取到权限继续往下走，没权限就返回，to many request的错误信息。 加到过滤器链上 加载Spring Scurity过滤器链的第一个过滤器之前。 启动网关，测试 ...

授权，权限的控制 令牌里的scope包含fly就有权限访问。根据Oauth的scope来做权限控制， 要让@PreAuthorize生效，就要在启动类里面写一个注解。 里面有一个属性叫做，就是在方法的执行之后可以用注解来插入一些方法安全的相关的一些表达式 ...

网关上认证去做哪些改造 在网关上用jwt去解析用户信息，而不再发送校验令牌的请求了。 之前的时候网关上实际上写了很多的代码 包括认证，发check_token去把token请求，换成用户信息。 这俩是审计日志和授权。 自己写了个MeFilter获取用户的信息 限流 filter都删掉 ...

一 、认证服务器上发Token的改造：uuid字符串改造为JWT 之前生成的token都是一个无意义的字符串uuid，也存在着上一篇 https://www.cnblogs.com/lihaoyang/p/12203586.html 所说的几个问题。本篇就要把token改造成JWT。 在认证 ...

上一节在认证服务器里，将token 由uuid改造成了JWT，之前在网关上拿到令牌access_token后，需要去认证服务器校验令牌，将令牌信息转换为用户信息。 现在有了jwt后，由于jwt是自包含的，已经包含了用户的身份信息，所以在网关上不需要去认证服务器验令牌了。 之前 ...

首先来解决认证的问题。 1.效率低，每次认证都要去认证服务器调一次服务。 2.传递用户身份，在请求头里面， 3.服务之间传递请求头比较麻烦。 jwt令牌。 spring提供了工具，帮你在微服务之间传递令牌。让你不用去写额外的代码 服务器端的改造 看一下认证服务器配置的这个类。这里有 ...

到现在为止基于Jwt的认证和授权的改造已经完成了。在网关上，刚开始都是自己定义一系列的Filter实现认证和授权。现在已经没有了这些过滤器，完全由SpringSecurity的过滤器接管了。 一、审计日志过滤器 现在来实现在SpringSecurity过滤器链上加入自己的逻辑，现在的过滤器链 ...