本项目解决了前后端分离模式下，页面、菜单、标签、按钮等细化的权限控制 用户登录后，后端根据用户角色返回带层级的权限列表，层级一次为：菜单（一级）. 页面（二级）.标签（三级）.按钮（四级），菜单、页面、标签权限在pommission.ts统一进行路由处理（图2），按钮权需首先自定义按钮渲染，然后在相应按钮el标签上填添加自定义标签（图3、4），后台需增加拦截器以拦截未授权的方法请求（图5）,并在相应需要权限方法上加注解（图6） 使用技术 vue3.0,vite, yarn, typescript,element-plus

微服务访问权限控制，传统的oauth2 jwt token的访问控制需要使用统一缓存或数据库存储token，这样限制了不同地域系统之间的访问（如：不共享缓存和数据库的不同系统） 本系统使用共享keystore的方式，将用户关键信息保存到jwt里，实现了不同地域之间系统的访问验证（单点登录）,（图1）配置使用jwt存储token（不使用jdbc） （图2）构造客户化的userservice； （图3）将用户信息加入到oauth2AccessToken （图4）将oauth2认证整合为用户登录 （图5）解密逻辑 （图6）资源服务器配置

1、项目分为医生端和患者端，医生端需要连接公司自己的websocket服务器，以便于对医生的控制(如：对于忙碌的医生，减少问诊派单；时间控制，分为图文和视频问诊，图文控制在10分钟，视频控制在120分钟，可以发起多次视频)； 2、要求websocket需配置集群模式，实现上使用2台服务器，由于websocket session不能使用redis统一管理，所以websocket server是有状态的，我采用的方式是根据患者的id号取2的模，为0的使用服务器1，不为0的使用服务器2，这样也很容器扩展到多台websocket服务器； 3、websocket服务器安全，传统上是建立session后进行控制，这样不能保证建立session之前发生的flood攻击，本方案采用握手阶段权限验证，如果失败或已连接就拒绝建立session，防止握手阶段flood攻击（图5）； 4、项目采用发布-订阅模式（图6），对于不同医生或患者不同的消息类型，发布为不同的类型的消息，使用不同的订阅handler进行处理； 5、系统支持患者转诊，即，问诊单分配给一个医生后，医生在3分钟内部接单，该单会转给其他医生，其他医生的选择，是根据医院、科室、是否空闲、口碑等综合算法计算，转诊医生的session可能位于另一台服务器，即第一次分配给单数的医生，转诊后分配给了双数医生，就会连接到另外的websocket服务器； 6、由于websocket是有状态的，需要对实时数据进行一定的保护，采用每5分钟进行一次redis快照，websocketserver重新部署或重启后会恢复redis快照，所以不会影响用户体验； 6、系统部署到k8s + istio公有云，采用helm chart结合Jenkins部署，使用istio gateway以及virtualservice进行路由，需要配置正则表达式以支持单数医生和双数医生能分配到固定的websocket(图8)，这样也很容易扩展到多台websocket服务器；由于websocket server需要部署到k8s，需要部署不同的deployment以示区分；