面试题简述

API 网关中的鉴权怎么做？展开说一下 JWT？

面试题考点

API 网关常用于统一入口、安全控制、限流、日志等，其中鉴权是面试重点。

问到 JWT 时，面试官想看候选人是否理解分布式系统下的无状态鉴权机制。

面试官想听的

1、是否能讲清楚 API 网关为什么要做鉴权；

2、JWT 是如何支撑分布式架构的无状态鉴权；

3、是否理解签发、验证、刷新、失效的机制。

面试示例回答

API 网关的鉴权一般在请求进入后第一步执行，用于判断请求是否合法。常见做法是结合 JWT 实现无状态认证。

详情请参考：http://xhslink.com/o/8t4oZhtNsSJ

由浅入深分析

1、JWT 无状态的意义： 每个请求自带身份，不依赖中心 Session，方便水平扩展。

2、签名机制： 基于 HMAC 或 RSA，保证不可篡改。

3、过期与刷新机制： Access Token + Refresh Token 搭配使用。

4、安全性注意： 避免敏感信息明文写入 Payload；HTTPS 是必须的。

5、API 网关的作用： 集中做鉴权、限流、熔断，后端服务只处理业务逻辑。

面试加分点

1、能提到 JWT 不能主动失效的问题，除非放入黑名单或缩短 TTL。

2、能讲出 Refresh Token 机制或 分布式 Session 的替代方案。

3、能提到 API 网关层做鉴权可以统一入口、减轻服务压力，将会是大的加分项。