统一网关的登录流程总结

SmileNicky

发布于 2026-03-10 08:07:33

1650

统一网关登录流程的面试要点，这是微服务架构中非常核心的高频考点。

🏗️ 整体架构图

┌─────────────┐      ┌─────────────┐      ┌─────────────┐      ┌─────────────┐
│   客户端     │      │  API Gateway │      │  认证中心    │      │  下游微服务  │
│ (Web/App)   │◄────►│   (统一网关)  │◄────►│ (Auth Server)│◄────►│ (业务服务)   │
└─────────────┘      └─────────────┘      └─────────────┘      └─────────────┘
                            │
                      ┌─────┴─────┐
                      │   Redis   │  ← Token黑名单/会话缓存
                      └───────────┘

🔐 核心登录流程（3种主流模式）

模式一：网关集中式认证（最常用）

流程步骤：

用户登录 → 请求网关 /auth/login → 转发到认证中心
身份验证 → 认证中心校验用户名密码 → 生成 JWT Token（Access Token + Refresh Token）
Token返回 → 网关返回 Token 给客户端
业务请求 → 客户端携带 Authorization: Bearer <token> 请求网关
统一鉴权 → 网关全局过滤器校验 JWT（签名、过期时间）
身份传递 → 网关将用户信息（UserID、Roles）写入请求头，转发给下游服务
业务处理 → 下游服务根据请求头中的用户信息进行权限判断和业务处理

核心代码（Spring Cloud Gateway）：

@Component
@Order(-1) // 最高优先级执行
public class JwtAuthenticationFilter implements GlobalFilter {
    
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        String path = request.getPath().value();
        
        // 1. 白名单放行（登录、注册、健康检查）
        if (isPublicPath(path)) {
            return chain.filter(exchange);
        }
        
        // 2. 提取 Token
        String token = extractToken(request);
        if (token == null) {
            return unauthorized(exchange, "缺少Token");
        }
        
        // 3. 校验 Token（签名、过期时间、黑名单）
        try {
            DecodedJWT jwt = JWTVerifier.verify(token);
            
            // 4. 将用户信息传递给下游服务
            ServerHttpRequest mutatedRequest = exchange.getRequest().mutate()
                .header("X-User-Id", jwt.getSubject())
                .header("X-User-Roles", jwt.getClaim("roles").asString())
                .header("X-User-Name", jwt.getClaim("username").asString())
                .build();
                
            return chain.filter(exchange.mutate().request(mutatedRequest).build());
            
        } catch (TokenExpiredException e) {
            return unauthorized(exchange, "Token已过期");
        } catch (JWTVerificationException e) {
            return unauthorized(exchange, "Token无效");
        }
    }
}

模式二：OAuth2 + JWT 授权码模式（第三方登录场景）

流程步骤 ：

授权请求 → 客户端重定向到认证中心 /oauth2/authorize
用户登录 → 用户在认证中心完成登录并授权
授权码返回 → 认证中心返回 Authorization Code 给客户端
换取Token → 客户端携带 Code 请求网关 /oauth2/token
颁发Token → 网关返回 Access Token（JWT）+ Refresh Token（Opaque Token）
后续请求 → 同模式一，网关统一校验 JWT

Token 类型区别：

Token 类型	格式	有效期	用途
Access Token	JWT（自包含）	短（15-30分钟）	访问资源
Refresh Token	Opaque（随机串）	长（7-30天）	刷新 Access Token
ID Token	JWT	同 Access Token	包含用户基本信息（OIDC）

模式三：Session + Cookie 模式（传统 Web 场景）

流程步骤 ：

用户登录 → 网关验证凭证后创建 Session，存储在 Redis
Cookie返回 → 网关设置 Set-Cookie: SESSION_ID=xxx 给浏览器
后续请求 → 浏览器自动携带 Cookie，网关从 Redis 查询 Session 获取用户信息
信息传递 → 网关将用户信息写入请求头转发

适用场景：传统服务端渲染 Web 应用，需要服务端控制会话状态

🛡️ 面试必问：网关统一认证 vs 服务自认证

维度	网关统一认证（推荐）	各服务自认证
安全性	统一安全策略，所有请求必须过网关	容易遗漏，策略不一致
性能	避免无效请求进入内网	重复解析 JWT，浪费资源
开发成本	服务无感知，专注业务	每个服务都要实现认证逻辑
灵活性	需要网关支持自定义规则	各服务可定制
运维复杂度	日志集中，便于审计	日志分散，难以追踪

面试金句：“网关统一认证实现了认证边界的内移，在架构入口处建立单一可信边界，符合零信任架构的’永不信任，始终验证’原则”

🔄 Token 刷新机制（双 Token 策略）

为什么需要刷新？

Access Token 有效期短（15分钟），降低泄露风险
Refresh Token 有效期长（7天），但只用于换 Token，不直接访问资源

刷新流程：

// 伪代码：网关过滤器中实现 Token 自动刷新
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
    String accessToken = extractToken(request);
    
    try {
        verifyToken(accessToken);
        return chain.filter(exchange);
    } catch (TokenExpiredException e) {
        // Token 过期，尝试用 Refresh Token 刷新
        String refreshToken = extractRefreshToken(request);
        
        if (refreshToken != null && validateRefreshToken(refreshToken)) {
            // 生成新 Access Token
            String newAccessToken = generateNewToken(refreshToken);
            
            // 返回新 Token（通过 Response Header 或 Body）
            exchange.getResponse().getHeaders().add("X-New-Token", newAccessToken);
            
            // 继续处理当前请求
            return chain.filter(exchange);
        } else {
            return unauthorized(exchange, "登录已过期，请重新登录");
        }
    }
}

🚨 安全加固要点（面试加分项）

1. Token 黑名单机制（主动登出）

@Service
public class TokenBlacklistService {
    @Autowired
    private StringRedisTemplate redisTemplate;
    
    // 登出时将 Token 加入黑名单（TTL 设为 Token 剩余有效期）
    public void addToBlacklist(String token, long expirationTime) {
        String jti = JWT.decode(token).getId(); // JWT ID
        long ttl = expirationTime - System.currentTimeMillis();
        redisTemplate.opsForValue().set("blacklist:" + jti, "1", ttl, TimeUnit.MILLISECONDS);
    }
    
    public boolean isBlacklisted(String token) {
        String jti = JWT.decode(token).getId();
        return redisTemplate.hasKey("blacklist:" + jti);
    }
}

2. 关键安全策略

策略	实现方式
HTTPS 强制	网关层强制 HSTS，拒绝 HTTP 请求
Token 存储	Access Token 存内存（Redux/Vuex），Refresh Token 存 HttpOnly Cookie
敏感操作二次认证	支付/修改密码等操作要求重新输入密码或短信验证
限流防刷	登录接口限流（如 5次/分钟），防止暴力破解
密钥轮换	定期更换 JWT 签名密钥，旧密钥保留一段时间用于验证旧 Token

3. 性能优化

// JWT 解析结果缓存（Caffeine）
@Component
public class JwtCacheManager {
    private final Cache<String, DecodedJWT> cache = Caffeine.newBuilder()
        .expireAfterWrite(5, TimeUnit.MINUTES)
        .maximumSize(10000)
        .build();
        
    public DecodedJWT verifyWithCache(String token) {
        return cache.get(token, t -> JWTVerifier.verify(t));
    }
}

💼 面试高频问题 & 标准答案

Q1：网关鉴权失败，如何设计降级策略？

答：熔断降级设计：

认证中心不可用时，网关允许已缓存的公钥继续验证 Token（JWT 自包含特性）
极端情况下可降级为只限流不鉴权，保证核心业务可用

Q2：如何实现"踢人下线"功能？

答：三种方案：

Token 黑名单：登出时将 JTI（Token ID）存入 Redis，网关校验时检查
修改密钥：强制所有 Token 失效（影响所有用户，慎用）
Session 模式：直接删除 Redis 中的 Session 记录

Q3：网关如何处理下游服务的权限细化？

答：网关负责粗粒度认证（校验 Token 有效性），下游服务负责细粒度授权（判断用户是否有权操作某条数据）。网关传递用户角色/权限标识，服务内部做 RBAC/ABAC 判断。

Q4：JWT 泄露了怎么办？

答：短期泄露风险可控（Token 有效期短），长期：

立即将 Token 加入黑名单
轮换签名密钥
强制用户重新登录（清除 Refresh Token）

🎯 架构选型建议

场景	推荐方案	理由
纯内部微服务	网关 + JWT	无状态，性能好
涉及第三方登录	OAuth2 + JWT	标准协议，生态成熟
高安全要求金融场景	网关 + OAuth2 + mTLS	双向证书 + Token 双重验证
遗留系统改造	网关适配层	逐步迁移，兼容旧 Session