fix: 对齐 authz 认证链路

2026-04-05 12:06:39 +08:00
parent dc87df28a4
commit 384471edca
9 changed files with 864 additions and 58 deletions
@@ -19,11 +19,16 @@ docker compose up -d
 # 3. 查看状态
 docker compose ps

-# 4. 停止
+# 4. 通过网关访问
+curl http://127.0.0.1:18080/healthz
+
+# 5. 停止
 docker compose down
 ```

-构建脚本会扫描 `app/` 下所有 `api`、`rpc`、`mq` 入口，通过 `docker buildx bake` 并行构建所有服务镜像，生成 `juwan/<service>-<type>:dev`。
+构建脚本会扫描 `app/` 下所有 `api`、`rpc`、`mq`、`adapter` 入口，通过 `docker buildx bake` 并行构建所有服务镜像，生成 `juwan/<service>-<type>:dev`。
+
+端到端接口测试走网关 `http://127.0.0.1:18080`，`18801-18809` 是各服务的直连端口，不经过认证链路。

 如需只启动部分服务：

@@ -38,6 +43,7 @@ docker compose up -d postgres redis snowflake player-rpc player-api
 | PostgreSQL      | 15432      |
 | Redis           | 16379      |
 | Kafka           | 19092      |
+| Envoy Gateway   | 18080      |
 | users-api       | 18801      |
 | player-api      | 18802      |
 | game-api        | 18803      |
@@ -52,6 +58,12 @@ docker compose up -d postgres redis snowflake player-rpc player-api

 编辑 `.env` 修改数据库密码、Kafka 地址等。默认值可直接用于本地开发。

+## 认证
+
+登录和注册通过 `users-api` 下发 `JToken` Cookie。`envoy-gateway` 负责 JWT 校验并注入认证头，`authz-adapter` 做会话态二次校验，后端服务只消费 `x-auth-user-id` 等头。
+
+写接口需要先 `GET /healthz` 领取 `XSRF-TOKEN` 和 `XSRF-GUARD`，再在请求头带上 `xsrf-token`。
+
 ## 数据库初始化

 首次启动时 PostgreSQL 会自动执行 `desc/sql/` 下的建表语句。如需重新初始化，删除 volume 后重启：