API网关是现代化微服务架构中非常重要的一部分。它起到了反向代理、聚合多个微服务、限流、熔断等多种重要功能。在这些功能中，鉴权是API网关中非常重要的一个部分。下面就介绍API网关如何鉴权。

1. 什么是API网关鉴权

API网关鉴权是针对微服务架构中的每个请求进行身份验证的一种方式。它负责验证客户端的身份，并对请求进行鉴权处理。鉴权可以是一种简单的身份验证，比如仅需要验证客户端的API Key，也可以是一种复杂的身份验证，比如OAuth2.0的授权鉴权。

在微服务架构中，不同的服务可能实现了各自的身份验证方式，比如有使用JWT Token, OAuth2.0, SAML的服务，为了让API网关能够无缝连接这些服务，就需要将这些服务的身份验证方式映射到API网关中。

2. API网关鉴权的常见方法

下面介绍API网关常见的鉴权方式：

2.1 API Key

API Key是一种简单的身份验证方式，可以用来验证请求方的身份。API Key是由API服务提供者颁发的一个字符串，请求方通过在请求消息头中添加API Key，可以认证它们的请求是否来自可信方。

API网关首先从请求中提取API Key，随后将API Key发给认证服务验证。认证服务现场查询数据库中的API Key并对其合法性进行验证，从而决定是否为该请求授权。

API Key的一个明显缺点是它只是一个字符串，安全性较低。同时API Key不支持过期时间的设置，一旦泄漏，则需要重新生成API Key。

2.2 Token

Token是"令牌"的意思，也是一种身份验证方式，比API Key更加安全可靠。一般来说，Token是在用户登录之后获得的，可以保存在客户端，然后在请求时发送给服务器进行身份验证。

API网关需要从请求中