在Spring Cloud Gateway中实现自定义的权限过滤器，我们可以通过继承
AbstractGatewayFilterFactory或GlobalFilter接口来实现。下面我们展示如何通过继承GlobalFilter来实现自定义权限过滤器。

创建自定义权限过滤器

通过实现 GlobalFilter 接口来创建自定义权限过滤器，如下所示。

package com.example.gateway.filter;

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
public class AuthorizationFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 获取请求头中的Authorization信息
        String authHeader = exchange.getRequest().getHeaders().getFirst("Authorization");

        // 校验Authorization信息是否有效
        if (authHeader == null || !isValidToken(authHeader)) {
            // 拒绝请求，返回401 Unauthorized状态码
            exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
            return exchange.getResponse().setComplete();
        }

        // 如果校验通过，继续执行过滤链
        return chain.filter(exchange);
    }

    // 这里可以实现自己的token验证逻辑
    private boolean isValidToken(String token) {
        // 简单示例，实际应用中应验证token的合法性，例如JWT验证
        return "valid-token".equals(token);
    }

    @Override
    public int getOrder() {
        // 定义过滤器的顺序，数字越小优先级越高
        return 0;
    }
}

注册过滤器

我们可以直接通过@Component 注解将这个过滤器注册到Bean容器中。Spring Cloud Gateway 会自动发现并应用这个全局过滤器。

配置应用

在 application.yml 中配置路由确保 Spring Cloud Gateway 应用已经正确配置，如下所示。

spring:
  cloud:
    gateway:
      routes:
        - id: example_route
          uri: http://httpbin.org:80
          predicates:
            - Path=/get
          filters:
            - AddRequestHeader=X-Request-Foo, Bar

运行与测试

启动 Spring Cloud Gateway 应用，并尝试发送请求，带上正确的 Authorization 头（例如：Authorization: valid-token）请求将被成功转发。不带 Authorization 头或提供错误的 Authorization 头将返回 401 Unauthorized。

扩展与优化

在实际应用中，一般会结合 JWT（JSON Web Token）进行更复杂的权限验证，我们可以在 isValidToken 方法中解析和验证 JWT 的有效性，确保用户的身份和权限。如下所示。

private boolean isValidToken(String token) {
    try {
        // 解析和验证JWT
        Jws<Claims> claimsJws = Jwts.parser()
                                    .setSigningKey("secretKey") // 使用你的密钥
                                    .parseClaimsJws(token);
        Claims body = claimsJws.getBody();
        // 可以在这里验证claims中的数据，例如用户名，权限等
        return true;
    } catch (JwtException | IllegalArgumentException e) {
        // 无效的JWT
        return false;
    }
}

总结

通过实现GlobalFilter接口，我们可以在Spring Cloud Gateway中实现自定义的权限过滤器逻辑，并对请求进行拦截和处理。这种方式超级灵活，可以根据需求进行扩展，例如集成 OAuth2、JWT等复杂的认证机制。