Sa-Token 网关认证与服务权限校验的分离实践

在微服务架构中，认证(Authentication)和授权(Authorization)是两个核心的安全概念。Sa-Token作为一款轻量级Java权限认证框架，提供了灵活的解决方案来实现这两者的分离。

认证与授权的区别

认证是验证用户身份的过程，回答"你是谁"的问题；授权则是确定用户能做什么，回答"你能做什么"的问题。在微服务架构中，通常希望在网关层统一处理认证，而在各个微服务中处理具体的权限校验。

Sa-Token的实现方案

Sa-Token通过Token机制天然支持这种分离架构。以下是典型的实现方式：

1. 网关层认证处理： 在API网关中配置全局过滤器，对所有请求进行登录状态校验。这里只需要验证Token的有效性，不涉及具体权限。

2. 微服务层权限校验： 在具体业务服务中，使用Sa-Token提供的注解如@CheckPermission进行细粒度的权限控制。此时服务可以信任网关已经完成了认证，直接进行权限判断。

性能优化考虑

为了避免重复的认证校验带来的性能损耗，可以采用以下策略：

1. Token传递：网关验证后，将Token信息通过请求头传递给下游服务
2. 上下文共享：利用Sa-Token的上下文机制，避免重复解析Token
3. 缓存优化：合理配置Sa-Token的缓存策略，减少Redis访问

实际应用建议

在实际项目中，建议：

1. 网关层只做粗粒度的认证拦截
2. 业务服务专注于自身领域的权限控制
3. 通过合理的Token设计减少网络开销
4. 考虑使用JWT等无状态Token进一步优化性能

这种架构既保持了安全性，又避免了不必要的性能损耗，是Sa-Token在微服务场景下的最佳实践之一。