登录链路与网关校验

入口在哪

用户入口：平台访问地址 → /login；SSO 入口：/login/redirect、/login/do-redirect；网关入口：所有后端请求进入 web-gateway 后执行 token、API Key、space/app 和安全策略校验。

操作步骤

1. 打开 /login，普通账号登录时前端调用账号登录接口；SSO 时进入 /login/redirect 或 /login/do-redirect。

2. 检查 Cookie 名称：默认是 deepfos_token；如果配置了 cookie.key，名称为 <cookie.key>_deepfos_token。

3. 检查网关校验顺序：API Key 请求先由 ApiKeyAuthFilter 识别，普通登录请求由 TokenAuthFilter 读取 Cookie 并换取 user 和 token 请求头。

4. 区分 401/403：未携带有效登录态或 token 查询账号失败通常返回 401；角色、URL 策略或元素前置条件不匹配通常表现为无权限或策略拦截。

5. 检查 space 和 app：打开元素或走 API Key 时必须带正确空间和应用，否则前置条件和应用状态校验可能失败。

如何验证配置成功

1. 正向校验 1：登录后浏览器 Cookie 中存在 deepfos_token 或带前缀 token，刷新页面不跳回登录页。

2. 正向校验 2：网关日志能看到用户信息查询成功，并向下游补充 user 和 token 请求头。

3. 负向校验：如果后端接口 401，先查 Cookie 和账号服务返回；如果菜单可见但元素打不开，再查 space、app、角色和元素前置条件。

常见问题

问：登录后一直跳回登录页怎么办？ 答：先确认 Cookie 是否写入，再看 TokenAuthFilter 是否能从 Cookie 获取 token，并检查账号服务用户信息接口返回。

问：401 和 403 应该怎么分？ 答：401 先查登录态和 token；403 或业务无权限先查角色、URL 策略、space/app 和元素权限。

问：为什么 API Key 请求不能同时带 token？ 答：网关明确做互斥校验，API Key 请求同时带 token 会被拒绝。