@sha851092391 #31 这种接口你可以标记为需要授权，这样没权限就调用不了，也就安全了呀。
第三个问题，你的调用不经过网关，自然不需要验证和鉴权。把身份验证和鉴权放在网关的目的是由网关统一实现，这样服务就不需要实现，服务间调用也就不需要 token 了。

首先要定义你的视觉上红色、蓝色的色域范围，然后 rgb 值在哪个范围就是什么颜色。

@yule111222
>内部接口加上 @PreAuthorize("#oauth2.hasScope('server')")
>再在 feign 做一个拦截器把客户端模式的 token 带上即可
>另外都用 JWT 了当然把权限信息放到 token 里面

楼主有定时任务要调用的时候，就没有 token 。权限信息放 token 里面会使 token 变得非常大。所以楼主才来提问。

@xuanbg 补充 A1：token 可以不带任何授权信息，在网关根据用户 ID 和 url 进行鉴权，鉴权过程最简单的做法就是查表。进一步优化就是缓存，但缓存的更新是非常复杂的问题。qps 不高的情况下直接查表就行了。

Q1: Gateway 使用 JWT 作为 Token 的解决方案中，每个业务服务中如何做授权校验？
A1：在网关中根据 url 判断用户是否授权。你需要在对角色授权时把操作权限与对应接口的 url 做关联，可能会 1 个操作权限对应多个 url 。

Q2: 一般是 Gateway 使用的服务名的路由策略把所有注册的服务的所有接口都暴露出去，就会把类似“通过用户 ID 获取用户信息”这类的基础接口服务都暴露出去，一般这种场景如何去做？
A2：不要使用自增 ID 就没关系了，接口本来就应该暴露出去。

Q3：定时任务、MQ 消费者、异步任务等任务去调用其他业务服务时，因为其他业务服务需要 token，像这种场景如何处理？
A3：只在网关鉴权，就不存在这个问题。

@learningman 瞧你这话说的，现如今这配环境就是初学者最大的门槛了好吧。。。

别问，问就是让自己累到倒头就睡。

手机你不走系统通知？

ELK/EFK 这种一点都不重，几行 docker 命令就搞定

@firejoke base64 只是编码，没有加解密的功能啊

流程不懂问领导

别光想着代码怎么写，要先想明白事情怎么做。理顺关系，设计好结构，定下流程，代码只不过是表达而已。

这是运营的套路，程序员可不背这口黑锅。客服居然肯给你换成 10 块的券？看来楼主魅力至少 12 点啊。

最简单粗暴的做法就是重新请求数据。好处是简单，而且顺便把列表刷新了。缺点是费时间费流量，而且为后端所不喜。

除了上面的办法，你可以自己刷新数据。好处是不用请求接口，也就没有卡顿。缺点是不能及时刷新列表的其他数据。

你们没看到纸糊被卖课的霸屏了吗？

都改成用 token 就行了。

需要鉴权的(一般是后台管理接口)统一鉴权，可以验证身份的必须验证 token，没法验证 token 但可以验签的(开放平台接口)必须验签，连验签都不能做的(如商品浏览、注册登录)就只能限流了。

3 对外，5 对内