PERMISSION_MISMATCH

• 描述：调用接口返回 403，编码为 PERMISSION_MISMATCH，没有该权限。

• 原因：iam_permission 或 缓存中没有对应的权限

• 解决步骤：

  1.首先检查接口调用是否正确，与请求的API是否匹配

  2.检查Redis (db4 > gateway > permissions) 中是否有这个权限

  3.再检查 iam_permission 中是否有这个权限(注意有层级之分)

  4.如果 iam_permission 中没有权限，调用 [hzero-iam > Permission Refresh] 下的 [/v1/permission/fresh/{serviceName}] 接口手动刷新服务权限。

  5.如果 iam_permission 中有，而 Redis 中没有的话，调用 [hzero-iam > Permission Refresh] 下的 [/v1/permission/cache/{serviceName}] 接口手动刷新服务权限缓存。

  6.上述方式都不行，如果是依赖的 hzero 服务，检查是否是版本用错了，有些服务区分 saas 版本和op版本，op 版本是不包含平台级接口的。

  7.如果是自己开发的服务，检查 Controller 接口上是否有 @Permission 和 @ApiOperation 注解

  8.检查网关服务是否配置了 redis.database=4，权限缓存到 db4 下。

  

刷新权限 403

• 描述：调用刷新权限的接口返回 403，编码为 PERMISSION_MISMATCH，没有该权限。
• 原因：检查 iam_permission 表是否没有任何数据。正常情况下 IAM 服务启动时会自动刷新自身的权限，只要用户登录后，就可以调用刷新权限的接口。没有刷新权限是由于 IAM 服务没监听到服务注册，因而没有刷新服务的权限。

PERMISSION_NOT_PASS

• 描述：调用接口返回 403，编码为 PERMISSION_NOT_PASS
• 原因：当前用户没有接口权限，可能是权限集中没有维护该权限，或者用户的角色没有分配到相应的权限集
• 解决：首先在 菜单配置>权限集>权限 下，检查是否有该权限(或LOV)，其次在 角色管理>分配权限 里检查当前角色是否已分配了该权限集。注意以上操作本身是需要管理员权限的。

PERMISSION_SERVICE_ROUTE

• 描述：路由存在，但无法访问，调用API返回 PERMISSION_SERVICE_ROUTE
• 原因分析：路由是手动在数据库维护的，或者 gateway 没有启用配置中心，从而无法获取服务路由。正常情况下，服务启动后，hzero-config 中会自动创建服务路由，并通知hzero-gateway 拉取最新的服务路由列表。

解决：

• 首先检查自己部署的服务是否可访问，先检查注册中心上服务是否注册成功；其次在服务器上检查 IP+端口 是否可访问，可使用 telnet ip port 测试。

• 其次，确认 hzero-gateway 启用了配置中心。

  spring:
    cloud:
      config:
        fail-fast: false
        # 是否启用配置中心
        enabled: true
        # 配置中心地址
        uri: http://dev.hzero.org:8010
  

• 检查是否引入了配置中心客户端依赖，配置中心客户端为可选依赖，需自行加入，可选客户端可参考 客户端依赖。如果使用的 hzero-config 服务，可加入如下依赖

  <dependency>
      <groupId>org.hzero.starter</groupId>
      <artifactId>hzero-starter-config-client</artifactId>
  </dependency>
  

• 最后，可手动创建路由或者通知刷新路由

  • 创建路由：如果hsgp_service_route中不存在相关路由，可在服务配置>服务路由页面维护，不要直接在数据库添加。
  • 刷新路由：如果路由已存在，但网关返回路由找不到，此时需手动刷新服务路由。可在服务配置>服务路由#刷新路由处刷新

服务API调用 405

• 描述：服务部署正常，API调用返回 no content，控制台显示 405 错误

  

• 解决：405 是服务不可访问，有可能是调用接口方法(method)不正确、服务器本身设置不可访问某些方法，或者网关地址、服务地址不正确。 可以发现这里是API调用地址配置的网关域名没有端口号导致的。

No Jwt token in request

• 描述：服务提供者和调用者服务都正常，单独调用服务接口也正常，但通过 Feign 调用返回401，报No Jwt token in request错误。

  

• 解决：检查 pom 中是否引入了 hzero-starter-feign-replay

  <dependency>
      <groupId>org.hzero</groupId>
      <artifactId>hzero-starter-feign-replay</artifactId>
  </dependency>
  

• 原因分析：此 jar 包中的 JwtRequestInterceptor 会自动拦截feign请求，为 RequestTemplate 加上 oauth token 请求头，被调用方即可解析出token。

• 扩展：在服务启动类上，一般都会加上 @EnableChoerodonResourceServer 注解，该注解的主要功能是开启一个过滤器JwtTokenFilter，解析 Jwt_Token，得到用户信息，因此可以在程序中通过 DetailsHelper.getUserDetails() 得到当前访问的用户信息。同时，该过滤器默认对/v1/*接口生效，如果其它前缀的路由也需要用户信息，需手动配置。

某个权限401

• 描述：同一个服务只有一个接口始终报401，无法获取Jwt，其它接口都可正常访问

• 解决：经调试 gateway-helper，发现该 Permission 为 public 接口，public 接口自然不会获取 AccessToken。但是数据库是正常的，原因则是缓存中的权限是public的，可能是数据库手动修改的，清理下缓存即可。切记不要手动修改数据库权限，权限更新后会自动刷新缓存，否则需要自行调接口刷新缓存。