Post #201027

[Java] sa-token + spring cloud gateway 过滤器顺序问题 执行顺序（从小到大）： 1.TRACE_ID_ORDER - 生成 TraceId （最高优先级） 2.BLACK_LIST_ORDER - 黑名单检查（尽早拦截） 3.REQUEST_CONTEXT_ORDER - 缓存请求体（为后续过滤器提供数据） 4.XSS_INJECTION_ORDER - XSS 注入检查 5.SQL_INJECTION_ORDER - SQL 注入检查 6.RATE_LIMITER_ORDER - 限流检查 7.API_LOG_ORDER - API 日志记录 8.AUTH_ORDER - Sa-Token 认证鉴权 9.JWT_BLACKLIST_ORDER - JWT 黑名单检查 10.FORWARD_AUTH_ORDER - 转发认证信息 11.业务处理 12.RESPONSE_CONTEXT_ORDER - 缓存响应体 13.REMOVE_CONTEXT_ORDER - 清理上下文（最低优先级） Auth 是 WebFilter （ SaReactorFilter ）”这一点决定了它一定会先于所有 GlobalFilter 执行。也就是说，按你写的序列把 Auth 放在第 8 位（ TraceId 、黑名单、注入之后）是做不到的，除非把认证改造成 GlobalFilter （不走 SaReactorFilter ）。所以： 如果保留 Sa-Token 的 SaReactorFilter （推荐做法），实际顺序一定是：WebFilter 阶段先认证，再进入 GlobalFilter 阶段做 TraceId/黑名单/注入/限流/日志等。 你给出的序列可作为 GlobalFilter 之间的相对顺序，但无法跨越 WebFilter 与 GlobalFilter 的边界 如果认证（ Auth ）放在最前面，未认证或非法请求可能直接被拦截，导致 API 日志和上下文处理没有执行 我这个 filter 顺序是否有问题，下面是整理的部分