授权中心

     1）编写授权中心微服务，com.leyou.service ly-auth。由于授权中心中有工具类，而且还要调用ly-use(需要Client),所以分成ly-auth-common与ly-auth-service。

     2）编写JwtProperties配置类，注意需要在实例化之后立刻(使用@PostConstruct)获取公钥和私钥。并且在获取之前要先判断是否存在密钥。编写授权中心微服务，登录请求发送至controller，调用service返回token，之后存储token到cookie中。service层远程调用user微服务的queryUserByUsernameAndPwd()，获取到User对象，然后生成token。

     3）解决通过网关无法添加cookie的问题。1：首先检查跨域cors，发现允许了携带cookie。2：跟踪CookieUtil的getDomainName,发现获取到的domain不对，原因是nginx反向代理，把api.leyou.com代理到了192.168.183.1:10010，一个网页只能操作当前域名下的cookie，修改配置。3：网关本身有转发了一次，所以在zuul下添加add-host-header:true（携带请求本身的host头信息）。4：netflix-zuul的2.0.1版本出现bug，在RibbonRoutingFilter中多了if判断，又对头进行判断，使得host头永远添加不进去，pom中修改zuul的版本为2.0.0。5：host修改好了，但是发现响应头中根本没有set-cookie头。原因是zuul的一个过滤器（PreDecorationFilter[ZuulFilter的实现类]）中设置了敏感头过滤。所以添加sensitive-headers: 。

    4）登录之后头部显示异常，我们需要从token中解析出UserInfo对象给页面。前端页面是shortcut.js。由于verify是在created()函数中，所以shortcut.html一加载就会执行。编写后台接口，观察请求头，前端传递了一个名字叫LY_TOKEN的cookie，所以后台用@CookieValue（“LY_TOKEN”）String token作为参数，解析token，出现异常则抛出未授权的自定义异常。用户点击页面，每次都要刷新shortcut.html，即执行verify。所以我们要在解析token之后刷新token，即重新生成token，写入cookie。

    5）上面我们完成了授权中心校验用户名密码成功后创建token并添加至cookie(授权)。和解析token（鉴权），那么请求访问微服务需要携带token，由于所有微服务都要经过网关，我们在网关处自定义过滤器，token校验失败（没有token，未登录）拦截下来。但是这样所有的请求都被拦截了，也无法登录（显示用户名或密码错误），所以我们配置白名单，遍历白名单，如果当前的请求路径(request.getURI())以白名单的路径开头，那么就不拦截。

    6）可优化的地方

           1：如果微服务的地址被暴漏了怎么办？

            授权中心不仅实现对用户的授权和鉴权，还要实现对服务的授权与鉴权。我们在数据库表中创建微服务表，包含服务的id，名称，密码等字段。还要创建微服务的权限表，说明了每个微服务可以调用的其他微服务。比如说搜索微服务要调用商品微服务，搜索微服务访问授权中心，授权中心查询数据库校验此微服务通过后，再查询该微服务可以访问的其他微服务。返回token给搜索微服务，搜索微服务再次访问商品微服务，首先它自己会使用Feign的拦截器查看是否存在token，如果没有，就去访问授权中心，如果存在token,就访问商品微服务，商品微服务解析token，解析成功，搜素微服务才可以访问商品微服务。

         2：如果客户端cookie被禁用了怎么办？

          首先我们可以提醒用户打开cookie。我们还可以把token放在响应头中然后存储到cookie以外的其他浏览器本地存储中。每次请求到来时先读取存储中的数据，把token通过请求头发送过来。

        3：如果客户端cookie被盗用了怎么办？

        我们可以在cookie中加入用户的身份识别信息（Mac地址等），传输过程使用https协议。