统一入口,
 用户认证,
 用户鉴权,
 权限校验,
 黑名单和白名单:
 动态黑名单和动态白名单:
 接口限流,
 服务熔断,
 请求过滤,
 请求转发,
 时间戳机制:
         数据是很容易被抓包的,但是经过如上的加密,加签处理,就算拿到数据也不能看到真实的数据;但是有不法者不关心真实的数据,而是直接拿到抓取的数据包进行恶意请求;这时候可以使用时间戳机制,在每次请求中加入当前的时间,服务器端会拿到当前时间和消息中的时间相减,看看是否在一个固定的时间范围内比如5分钟内;这样恶意请求的数据包是无法更改里面时间的,所以5分钟后就视为非法请求了;
 接口签名,
 APPID机制:
        大部分网站基本都需要用户名和密码才能登录,并不是谁来能使用我的网站,这其实也是一种安全机制;
       对应的对外提供的接口其实也需要这么一种机制,并不是谁都可以调用,需要使用接口的用户需要在后台开通appid,
       提供给用户相关的密钥;在调用的接口中需要提供appid+密钥,服务器端会进行相关的验证;
 数据合法性校验:
        这个可以说是每个系统都会有的处理机制,只有在数据是合法的情况下才会进行数据处理;每个系统都有自己的验证规则,
        当然也可能有一些常规性的规则,比如身份证长度和组成,电话号码长度和组成等等;
 防XSS和SQL注入:
 监控:记录请求响应数据,api耗时分析,性能监控
 缓存:数据缓存
 日志:日志记录
 跨域访问:
 请求重试:
 动态路由等功能:
 定向流量分发策略,也就是自定义Nginx的流量分发策略:
 动态封禁IP和缓存功能:
 协议转换:如 HTTP => RPC协议
 基于机器学习, 预测流量高峰.
 灰度发布:Spring cloud Gateway 天然支持灰度发布,他已经在线支持了,不过灰度发布一定要结合动态路由来操作