juwan-backend/docs/PROJECT_GUIDE.md

Juwan 后端项目完整使用指南

项目概述

Juwan 是一个基于 Go-Zero 微服务框架的分布式后端系统，采用以下架构：

┌─────────────────────────────────────────────────────────────────────┐
│                      Envoy Gateway (负载均衡、认证)                      │
│                        端口: 80 (HTTP)                               │
└──────────────┬──────────────────────────────────────────────────────┘
               │
       ┌───────┴──────────┐
       │                  │
   ┌───▼────────┐    ┌───▼────────┐
   │  User API  │    │ Order API  │
   │ (8888)     │    │ (8888)     │
   └───┬────────┘    └────────────┘
       │
   ┌───▼────────────────────┐
   │  User RPC (内部使用)    │
   │  gRPC (不暴露)          │
   └────────────────────────┘
       │
   ┌───▼────────────────────┐
   │  PostgreSQL Database    │
   └────────────────────────┘

关键特性：

• ✅ API 层通过 Envoy Gateway 暴露给外部
• ✅ RPC 层仅限集群内部通信（通过 K8s Service Discovery）
• ✅ JWT 认证（可选路由）
• ✅ 密码加密存储
• ✅ 用户会话管理

---

1️⃣ 添加新服务（完整步骤）

示例：添加一个 Product API 服务

Step 1: 定义 API 接口

创建 desc/api/product.api：

syntax = "v1"

type (
    Product {
        ProductId   int64   `json:"productId"`
        Name        string  `json:"name"`
        Description string  `json:"description"`
        Price       float64 `json:"price"`
        Stock       int32   `json:"stock"`
        CreateAt    int64   `json:"createAt"`
    }
    
    CreateProductReq {
        Name        string  `json:"name" binding:"required,min=2"`
        Description string  `json:"description"`
        Price       float64 `json:"price" binding:"required,gt=0"`
        Stock       int32   `json:"stock" binding:"required,gte=0"`
    }
    
    CreateProductResp {
        ProductId int64  `json:"productId"`
        Message   string `json:"message"`
    }
    
    GetProductReq {
        ProductId int64 `path:"productId" binding:"required,gt=0"`
    }
    
    ListProductsReq {
        Page  int64 `form:"page" binding:"required,gt=0"`
        Limit int64 `form:"limit" binding:"required,gt=0,lte=100"`
    }
    
    ListProductsResp {
        Total    int64      `json:"total"`
        Products []Product  `json:"products"`
    }
)

@server (
    group:      product
    prefix:     /api/products
    middleware: Logger
)
service product-api {
    @doc (summary: "创建商品")
    @handler CreateProduct
    post / (CreateProductReq) returns (CreateProductResp)
    
    @doc (summary: "获取商品详情")
    @handler GetProduct
    get /:productId (GetProductReq) returns (Product)
    
    @doc (summary: "列出所有商品")
    @handler ListProducts
    get / (ListProductsReq) returns (ListProductsResp)
}

Step 2: 创建 RPC 定义（内部服务）

创建 desc/rpc/product.proto：

syntax = "proto3";

option go_package = "./pb";

package pb;

message Product {
    int64 productId = 1;
    string name = 2;
    string description = 3;
    double price = 4;
    int32 stock = 5;
    int64 createAt = 6;
}

message GetProductReq {
    int64 productId = 1;
}

message GetProductResp {
    Product product = 1;
}

message UpdateStockReq {
    int64 productId = 1;
    int32 delta = 2;  // 正数增加库存，负数减少
}

message UpdateStockResp {
    int32 newStock = 1;
}

service ProductCenter {
    rpc GetProduct(GetProductReq) returns (GetProductResp);
    rpc UpdateStock(UpdateStockReq) returns (UpdateStockResp);
}

Step 3: 生成代码

# 生成 API 服务代码
goctl api go -api desc/api/product.api -dir app/product/api --style=goZero

# 生成 RPC 服务代码
goctl rpc protoc desc/rpc/product.proto \
  --go_out=./app/product/rpc \
  --go-grpc_out=./app/product/rpc \
  --zrpc_out=./app/product/rpc \
  --style=goZero

Step 4: 实现业务逻辑

编辑 app/product/api/internal/logic/product/createproduct.go：

package product

import (
    "context"
    "product-api/app/product/api/internal/svc"
    "product-api/app/product/api/internal/types"
)

type CreateProductLogic struct {
    ctx    context.Context
    svcCtx *svc.ServiceContext
}

func NewCreateProductLogic(ctx context.Context, svcCtx *svc.ServiceContext) *CreateProductLogic {
    return &CreateProductLogic{
        ctx:    ctx,
        svcCtx: svcCtx,
    }
}

func (l *CreateProductLogic) CreateProduct(req *types.CreateProductReq) (*types.CreateProductResp, error) {
    // TODO: 调用 RPC 或数据库创建商品
    return &types.CreateProductResp{
        ProductId: 1,
        Message:   "创建成功",
    }, nil
}

Step 5: 配置 K8s 部署

创建 deploy/k8s/service/product/product-api.yaml：

apiVersion: v1
kind: ConfigMap
metadata:
  name: product-api-config
  namespace: juwan
data:
  product-api.yaml: |
    Name: product-api
    Host: 0.0.0.0
    Port: 8890
    Database:
      DataSource: postgres://user:pass@pg-dx:5432/juwan

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: product-api
  namespace: juwan
spec:
  replicas: 2
  selector:
    matchLabels:
      app: product-api
  template:
    metadata:
      labels:
        app: product-api
    spec:
      containers:
      - name: product-api
        image: your-registry/product-api:latest
        ports:
        - containerPort: 8890
        volumeMounts:
        - name: config
          mountPath: /etc/product-api
        env:
        - name: TZ
          value: "Asia/Shanghai"
      volumes:
      - name: config
        configMap:
          name: product-api-config

---
apiVersion: v1
kind: Service
metadata:
  name: product-api-svc
  namespace: juwan
spec:
  selector:
    app: product-api
  ports:
  - port: 8890
    targetPort: 8890
  type: ClusterIP

Step 6: 更新 Envoy 网关配置

在 deploy/k8s/envoy-gateway.yaml 中添加：

# 在 http_filters->route_config->virtual_hosts->routes 添加：
- match:
    prefix: /api/products
  route:
    cluster: product_api_cluster
    timeout: 30s

# 在 clusters 添加：
- name: product_api_cluster
  connect_timeout: 5s
  type: STRICT_DNS
  dns_lookup_family: V4_ONLY
  lb_policy: ROUND_ROBIN
  load_assignment:
    cluster_name: product_api_cluster
    endpoints:
      - lb_endpoints:
          - endpoint:
              address:
                socket_address:
                  address: product-api-svc.juwan.svc.cluster.local
                  port_value: 8890
  health_checks:
    - timeout: 3s
      interval: 10s
      unhealthy_threshold: 2
      healthy_threshold: 2
      http_health_check:
        path: /health

Step 7: 部署到集群

# 应用 K8s 配置
kubectl apply -f deploy/k8s/service/product/product-api.yaml

# 更新 Envoy Gateway 配置
kubectl apply -f deploy/k8s/envoy-gateway.yaml

# 重启 Envoy Pod 使配置生效
kubectl delete pods -n juwan -l app=envoy-gateway

# 验证
kubectl get pods -n juwan
curl http://localhost/api/products

---

2️⃣ RPC 服务内部隔离（不暴露给外部）

当前架构（推荐）

┌────────────────────────────────────────────┐
│         外部客户端 (互联网)                 │
└────────────┬─────────────────────────────┘
             │
        ┌────▼──────────┐
        │  Envoy Gateway│
        │  (仅 HTTP)    │
        └────┬──────────┘
             │
    ┌────────┴─────────────┐
    │                      │
┌───▼───────────┐  ┌──────▼─────────┐
│  User API    │  │  Product API   │
│  (8888)      │  │  (8890)        │
└───┬───────────┘  └────────────────┘
    │
┌───▼──────────────────────────────────┐
│  User RPC (完全隐藏)                  │
│  - 不暴露端口                        │
│  - gRPC 通信                        │
│  - K8s Service DNS 发现              │
│  - NetworkPolicy 限制通信            │
└──────────────────────────────────────┘

实现步骤

1. 创建仅内部的 Service（无 port 暴露）

在 deploy/k8s/service/user/user-rpc.yaml：

apiVersion: v1
kind: Service
metadata:
  name: user-rpc-svc
  namespace: juwan
spec:
  selector:
    app: user-rpc
  ports:
  - name: grpc
    port: 50051
    targetPort: 50051
  type: ClusterIP  # 📌 仅限集群内部访问，不暴露 NodePort 或 LoadBalancer
  sessionAffinity: None

2. 配置 NetworkPolicy（进一步限制）

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: user-rpc-access
  namespace: juwan
spec:
  podSelector:
    matchLabels:
      app: user-rpc
  policyTypes:
  - Ingress
  ingress:
  # 仅允许 API 和其他服务(如 Order API)访问
  - from:
    - podSelector:
        matchLabels:
          app: user-api
    - podSelector:
        matchLabels:
          app: order-api
    - podSelector:
        matchLabels:
          app: product-api
    ports:
    - protocol: TCP
      port: 50051

3. API 服务中调用 RPC

在 app/users/api/internal/svc/servicecontext.go：

package svc

import (
    "github.com/zeromicro/go-zero/zrpc"
    "app/users/api/internal/config"
    "app/users/rpc/pb"
)

type ServiceContext struct {
    Config   config.Config
    UserRpc  pb.UsercenterClient  // RPC 客户端
}

func NewServiceContext(c config.Config) *ServiceContext {
    userRpcClient := zrpc.MustNewClient(c.UserRpc)
    return &ServiceContext{
        Config:   c,
        UserRpc:  pb.NewUsercenterClient(userRpcClient.Conn()),
    }
}

配置文件 app/users/api/etc/user-api.yaml：

Name: user-api
Host: 0.0.0.0
Port: 8888

# RPC 配置（使用 K8s DNS）
UserRpc:
  Endpoints:
    - user-rpc-svc.juwan.svc.cluster.local:50051
  
Database:
  DataSource: postgres://user:pass@pg-dx:5432/juwan

4. RPC 不在 Envoy 中配置路由

❌ 不要在 envoy-gateway.yaml 中添加 RPC 集群：

# ❌❌❌ 不要这样做 ❌❌❌
# routes:
#   - match:
#       prefix: /juwan.pb.Usercenter/
#     route:
#       cluster: user_rpc_cluster  # 这样会暴露 RPC

---

3️⃣ JWT 认证与分级访问控制

实现逻辑

请求到达 Envoy → JWT 验证

┌──────────────────────────────────────┐
│  无效或缺省 Token                     │
└──────────┬───────────────────────────┘
           │
    公开路由 (允许) ──→ /api/users/login
                      /api/users/register
                      /api/products (列表、详情)
    
    受保护路由 (拒绝) ──→ 返回 401 Unauthorized
           │
    ┌──────▼───────────────────────────┐
    │  有效 Token                       │
    │  (已登录)                        │
    └──────┬───────────────────────────┘
           │
    ┌──────▼──────────────────────────────────────────────┐
    │ 完整数据访问 (取决于后端 RPC)                         │
    │ - 用户信息 (包括隐私信息)                           │
    │ - 订单历史                                         │
    │ - 收藏列表                                         │
    └──────────────────────────────────────────────────────┘

配置步骤

1. 生成 JWT 密钥并存储为 K8s Secret

# 生成 HMAC 密钥（用于签名）
openssl rand -hex 32

# 输出示例: a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6

# 创建 Secret
kubectl create secret generic jwt-secret \
  --from-literal=key=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6 \
  -n juwan

# 验证
kubectl get secret jwt-secret -n juwan -o yaml

2. 更新 Envoy 配置（添加 JWT 验证）

编辑 deploy/k8s/envoy-gateway.yaml：

apiVersion: v1
kind: ConfigMap
metadata:
  name: envoy-config
  namespace: juwan
data:
  envoy.yaml: |
    static_resources:
      listeners:
        - name: listener_http
          address:
            socket_address:
              address: 0.0.0.0
              port_value: 8080
          filter_chains:
            - filters:
                - name: envoy.filters.network.http_connection_manager
                  typed_config:
                    "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
                    stat_prefix: ingress_http
                    http_filters:
                      # JWT 认证过滤器（在 router 之前）
                      - name: envoy.filters.http.jwt_authn
                        typed_config:
                          "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
                          
                          # 定义 JWT 提供者
                          providers:
                            my-provider:
                              issuer: "juwan"
                              audiences: "api"
                              # 使用文件系统上的密钥
                              local_jwks:
                                filename: /etc/envoy/jwks.json
                          
                          # 定义受保护的路由
                          rules:
                            # 规则1: 登录和注册不需要认证
                            - match:
                                prefix: /api/users/login
                              allow_missing_or_failed: true  # 允许缺省/失败的 token
                            - match:
                                prefix: /api/users/register
                              allow_missing_or_failed: true
                            # 规则2: 重定向认证失败请求
                            - match:
                                prefix: "/"
                              requires:
                                provider_name: "my-provider"
                                # 如果认证失败，Envoy 直接拒绝，返回 401
                      
                      # 路由过滤器
                      - name: envoy.filters.http.router
                        typed_config:
                          "@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router
                    
                    route_config:
                      name: local_route
                      virtual_hosts:
                        - name: backend
                          domains: ["*"]
                          routes:
                            - match:
                                prefix: /api/users
                              route:
                                cluster: user_api_cluster
                            - match:
                                prefix: /api/products
                              route:
                                cluster: product_api_cluster
                            # ... 其他路由 ...
      
      # ... clusters 定义保持不变 ...

3. 在 API 服务中添加认证中间件

创建 app/users/api/internal/middleware/authmiddleware.go：

package middleware

import (
    "fmt"
    "net/http"
    "strings"
    
    "github.com/golang-jwt/jwt/v4"
)

type AuthMiddleware struct {
    JwtSecret string
}

func (m *AuthMiddleware) Handle(next http.HandlerFunc) http.HandlerFunc {
    return func(w http.ResponseWriter, r *http.Request) {
        // 获取 Authorization header
        authHeader := r.Header.Get("Authorization")
        if authHeader == "" {
            // 如果认证失败，Envoy 会返回 401，
            // 但我们可以在 API 层添加自定义逻辑
            next(w, r)
            return
        }
        
        parts := strings.Split(authHeader, " ")
        if len(parts) != 2 || parts[0] != "Bearer" {
            http.Error(w, "Invalid authorization header", http.StatusUnauthorized)
            return
        }
        
        token := parts[1]
        
        // 验证 token
        _, err := jwt.Parse(token, func(token *jwt.Token) (interface{}, error) {
            if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
                return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
            }
            return []byte(m.JwtSecret), nil
        })
        
        if err != nil {
            http.Error(w, "Invalid token", http.StatusUnauthorized)
            return
        }
        
        // Token 有效，继续处理
        next(w, r)
    }
}

4. 登录端点返回 JWT Token

编辑 app/users/api/internal/logic/user/loginlogic.go：

package user

import (
    "context"
    "time"
    "github.com/golang-jwt/jwt/v4"
    "app/users/api/internal/svc"
    "app/users/api/internal/types"
)

type LoginLogic struct {
    ctx    context.Context
    svcCtx *svc.ServiceContext
}

func (l *LoginLogic) Login(req *types.LoginReq) (*types.LoginResp, error) {
    // TODO: 验证用户名和密码
    
    // 生成 JWT Token
    claims := jwt.MapClaims{
        "userId":   1,  // 实际应从数据库获取
        "username": req.Username,
        "exp":      time.Now().Add(24 * time.Hour).Unix(),
        "iat":      time.Now().Unix(),
    }
    
    token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
    tokenString, err := token.SignedString([]byte(l.svcCtx.Config.JwtSecret))
    if err != nil {
        return nil, err
    }
    
    return &types.LoginResp{
        Token:   tokenString,
        Expires: time.Now().Add(24 * time.Hour).Unix(),
    }, nil
}

JWT 认证时的分级访问

后端 RPC 可处理分级访问：

// 在 User RPC 中实现
func (s *UsercenterServer) GetUserInfo(ctx context.Context, req *pb.GetUsersByIdReq) (*pb.GetUsersByIdResp, error) {
    // 获取请求者的 userId（从 context 中取，由 API 层传递）
    requesterID := ctx.Value("userId").(int64)
    targetID := req.Id
    
    // 查询用户信息
    user := s.getUserFromDB(targetID)
    
    if requesterID == targetID {
        // 自己查看自己 → 返回完整信息（包含隐私信息）
        return &pb.GetUsersByIdResp{
            Users: &pb.Users{
                UserId:    user.UserId,
                Username:  user.Username,
                Email:     user.Email,  // ✅ 包含
                Phone:     user.Phone,  // ✅ 包含
                // ... 所有字段
            },
        }, nil
    } else {
        // 查看别人 → 返回部分信息
        return &pb.GetUsersByIdResp{
            Users: &pb.Users{
                UserId:    user.UserId,
                Username:  user.Username,
                // ❌ 不返回 Email、Phone 等隐私信息
            },
        }, nil
    }
}

或在 API 层处理：

func (l *GetUserInfoLogic) GetUserInfo(req *types.GetUserInfoReq) (*types.UserInfo, error) {
    // 从 context 获取当前认证用户
    currentUser := l.ctx.Value("userId").(int64)
    
    // 调用 RPC
    rpcResp, err := l.svcCtx.UserRpc.GetUsersById(l.ctx, &pb.GetUsersByIdReq{
        Id: req.UserId,
    })
    
    if currentUser == req.UserId {
        // 自己查看自己 → 返回所有信息
        return &types.UserInfo{
            UserId:   rpcResp.Users.UserId,
            Username: rpcResp.Users.Username,
            Email:    rpcResp.Users.Email,
            Phone:    rpcResp.Users.Phone,
        }, nil
    } else {
        // 查看别人 → 仅返回公开信息
        return &types.UserInfo{
            UserId:   rpcResp.Users.UserId,
            Username: rpcResp.Users.Username,
        }, nil
    }
}

---

4️⃣ 认证失败处理策略

当前配置

路由	认证要求	认证失败	示例
/api/users/login	❌ 不需要	放行	POST /api/users/login (允许)
/api/users/register	❌ 不需要	放行	POST /api/users/register (允许)
/api/users/:userId	✅ 需要	拒绝 401	GET /api/users/123 (无 token → 401)
/api/users/:userId/password	✅ 需要	拒绝 401	PUT /api/users/123/password (无 token → 401)
/api/products	❌ 不需要	放行	GET /api/products (允许)
/api/products/:id	❌ 不需要	放行	GET /api/products/1 (允许)

自定义错误响应

创建 deploy/k8s/envoy-gateway.yaml 的自定义拒绝响应：

# 在 jwt_authn 过滤器中配置
http_filters:
  - name: envoy.filters.http.jwt_authn
    typed_config:
      "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
      providers:
        my-provider:
          issuer: "juwan"
          audiences: "api"
          local_jwks:
            filename: /etc/envoy/jwks.json
      rules:
        - match:
            prefix: /api/users/login
          allow_missing_or_failed: true
        - match:
            prefix: /api/users/register
          allow_missing_or_failed: true
        - match:
            prefix: /
          requires:
            provider_name: "my-provider"
      # 认证失败后的行为
      bypass_cors_preflight: false  # 允许 OPTIONS 跨域请求

认证失败时 Envoy 返回 401：

HTTP/1.1 401 Unauthorized
content-type: text/html

Jwt verification fails.

在 API 层添加自定义错误处理

如果希望自定义错误响应，可以在每个受保护的 handler 中添加检查：

func (l *UpdateUserInfoLogic) UpdateUserInfo(req *types.UpdateUserInfoReq) (*types.UpdateUserInfoResp, error) {
    // 获取当前请求者的身份
    ctx := context.WithValue(l.ctx, "currentUserId", req.UserId)
    
    // 如果没有匹配的 token，API 层可以添加自定义错误
    if req.UserId <= 0 {
        return nil, errors.New("invalid user id")
    }
    
    // 继续处理
    return &types.UpdateUserInfoResp{Message: "更新成功"}, nil
}

---

5️⃣ 完整工作流示例

场景：用户注册 → 登录 → 获取用户信息

步骤 1: 注册用户（无需认证）

curl -X POST http://localhost/api/users/register \
  -H "Content-Type: application/json" \
  -d '{
    "username": "john_doe",
    "password": "securePass123",
    "email": "john@example.com",
    "phone": "13800138001"
  }'

# 响应
{
  "userId": 1,
  "username": "john_doe",
  "email": "john@example.com",
  "message": "用户注册成功"
}

步骤 2: 登录获取 Token（无需认证）

curl -X POST http://localhost/api/users/login \
  -H "Content-Type: application/json" \
  -d '{
    "username": "john_doe",
    "password": "securePass123"
  }'

# 响应
{
  "userId": 1,
  "username": "john_doe",
  "email": "john@example.com",
  "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
  "expires": 1708694400
}

步骤 3: 获取用户信息（需要 Token）

# ❌ 无 Token → 401 Unauthorized
curl http://localhost/api/users/1
# Jwt verification fails.

# ✅ 有 Token → 成功
curl http://localhost/api/users/1 \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

# 响应
{
  "userId": 1,
  "username": "john_doe",
  "email": "john@example.com",
  "phone": "13800138001",
  "avatar": "https://...",
  "status": 1,
  "createAt": 1708608000,
  "updateAt": 1708608000
}

步骤 4: 查看他人信息（部分数据）

# 用户1 查看用户2 的信息（已登录）
curl http://localhost/api/users/2 \
  -H "Authorization: Bearer eyJhbGc..."

# 响应（仅公开信息）
{
  "userId": 2,
  "username": "jane_doe",
  # ❌ 不包含 email, phone 等隐私信息
}

---

6️⃣ 部署检查清单

在部署新服务或更新配置前，使用此清单：

• API 定义 - desc/api/*.api 文件已创建
• RPC 定义 - desc/rpc/*.proto 文件已创建（如需内部通信）
• 代码生成 - 运行 goctl api/rpc 命令生成代码
• 业务逻辑 - 编辑 app/*/api/internal/logic/ 实现功能
• K8s 部署清单 - 创建 deploy/k8s/service/*/ 文件
  • ConfigMap（配置）
  • Deployment（部署）
  • Service（K8s 服务发现）
  • NetworkPolicy（网络隔离，可选）
• Envoy 更新 - 修改 deploy/k8s/envoy-gateway.yaml
  • 添加路由规则
  • 添加上游集群
  • 验证健康检查地址
• 测试验证

  kubectl apply -f deploy/k8s/service/{name}/
  kubectl apply -f deploy/k8s/envoy-gateway.yaml
  kubectl delete pods -n juwan -l app=envoy-gateway
  curl http://localhost/api/{path}  # 端口转发后测试
  

---

7️⃣ 故障排查

问题 1: 新服务无法访问

# 检查 Pod 状态
kubectl get pods -n juwan

# 查看 Pod 日志
kubectl logs -n juwan -l app=your-service --tail=100

# 检查 Service
kubectl get svc -n juwan

# 测试 DNS 解析
kubectl exec -it {pod-name} -n juwan -- nslookup your-service-svc.juwan.svc.cluster.local

问题 2: Envoy 配置错误

# 查看 Envoy Pod 日志
kubectl logs -n juwan -l app=envoy-gateway --tail=50

# 常见错误
# - "no such field" → YAML 字段名与 Envoy 版本不兼容
# - "Unknown cluster" → Envoy 配置中缺少 cluster 定义
# - "Connection refused" → 后端服务未启动或 DNS 无法解析

问题 3: JWT 认证失败

# 检查 JWT 配置是否正确
kubectl get configmap envoy-config -n juwan -o yaml

# 查看 jwks.json 是否存在
kubectl exec -it {envoy-pod} -n juwan -- cat /etc/envoy/jwks.json

# 验证 Token 格式
curl -H "Authorization: Bearer {token}" http://localhost/api/users/1

---

文件组织总结

project-root/
├── desc/                              # 接口定义
│   ├── api/
│   │   ├── users.api                  # User API 定义
│   │   └── product.api                # ← 新增：Product API 定义
│   ├── rpc/
│   │   ├── users.proto                # User RPC 定义
│   │   └── product.proto              # ← 新增：Product RPC 定义
│   └── sql/
│
├── app/                               # 应用代码
│   ├── users/
│   │   ├── api/                       # User API 实现
│   │   └── rpc/                       # User RPC 实现（内部）
│   └── product/                       # ← 新增：Product 服务
│       ├── api/
│       └── rpc/
│
├── deploy/                            # K8s 部署
│   ├── k8s/
│   │   ├── envoy-gateway.yaml         # ← 更新：添加新路由
│   │   ├── base/
│   │   └── service/
│   │       ├── user/
│   │       │   ├── user-api.yaml
│   │       │   └── user-rpc.yaml
│   │       └── product/               # ← 新增：Product 部署文件
│   │           ├── product-api.yaml
│   │           └── product-rpc.yaml
│   └── envoy/                         # 参考配置
│
└── docs/                              # 文档
    └── PROJECT_GUIDE.md               # ← 本文件

---

希望这份指南能帮助你快速上手项目！有任何问题欢迎提出 📝