Spring Security 實現微服務權限控制可以采用如下兩種方式。 <br/> **1. 基于Session進行控制** Spring-security 會對 cookie 里的 sessionid 進行解析，找到服務器存儲的 session 信息，然后判斷當前用戶是否符合請求的要求。 <br/> **2. 基于token進行控制** 解析出 token，然后將當前請求加入到 Spring-security 管理的權限信息中。  <br/> 如果系統的模塊眾多，每個模塊都需要進行授權與認證，所以我們選擇基于 token 的形式進行授權與認證。用戶根據用戶名密碼認證成功，然后獲取當前用戶角色的一系列權限值，并以用戶名為 key，權限列表為 value 的形式存入 redis 緩存中，根據用戶名相關信息生成 token 返回，瀏覽器將 token 記錄到 cookie 中，每次調用 api 接口都默認將 token 攜帶到 header 請求頭中，Spring-security 解析 header 頭獲取 token 信息，解析 token 獲取當前用戶名，根據用戶名就可以從 redis 中獲取權限列表，這樣 Spring Security 就能夠判斷當前請求是否有權限訪問。