我不会将安全性与微服务分离，原因有两个：

• 访问控制是我想要进行单元测试的业务需求
• spring-security可能比任何API网关安全过滤器都更强大（表现力，可测试性等

你不必将Keycloak与spring-boot集成（实际上你不应该这样做，因为Keycloak libs for spring are deprecated）。
Spring-security为资源服务器提供了工具。Sample here。
我还在spring-boot-starter-oauth2-resource-server之上编写了（very）薄层，以简化资源服务器配置。大多数配置选项都可以从属性中获得，这在微服务中保存了相当多的Java代码。Sample there。
在advanced tutorial之后，您甚至可以构建一个与@PreAuthorize("is(#username) or isNice() or onBehalfOf(#username).can('greet')")一样有表现力的安全DSL。祝你好运，以实现同样的API getway。
上面链接的repo还包含了很多用于配置单元测试安全上下文的注解：

@Test
    @ProxiesAuth(
            authorities = { "AUTHOR" },
            claims = @OpenIdClaims(preferredUsername = "Tonton Pirate"))
    void whenHimselfThenCanGreetFor() throws Exception {
        mockMvc.get("/greet/on-behalf-of/Tonton Pirate").andExpect(status().isOk()).andExpect(content().string("Hi Tonton Pirate from Tonton Pirate!"));
    }

这里有一篇非常详细的文章介绍了API Gateway和keycloak的使用：https://apisix.apache.org/blog/2022/07/06/use-keycloak-with-api-gateway-to-secure-apis/