首先个人这里优先使用PBE对称算法及md5非对称算法
对称加密主要针对类似用户ID、订单号等类似敏感属性使用
非对称加密用来做消息体签名防止被篡改
使用JWT获取用户基础信息
包括公钥、私钥、角色、用户ID(PBE加密)
注:公钥固定,私钥分为动态和静态生成
签名JWT头部信息防止篡改(增加盐值签名)
一般网站访问个人认为分为未登录和已登录
未登录请求 获取通用JWT信息
已登录请求 获取带有授权信息的JWT信息
网关判断
a. 调用授权服务判断其合法性, 同时校验是否具有访问当前URL权限
注:这些需要在鉴权中心完成, 同时返回私钥(必须携带授权中心返回的值:比如公钥)
b. 公钥和秘钥拼接 来验证请求体是否合法