集成必要性功能

rdms-framework/rdms-spring-boot-starter-security/README.md

@@ -519,7 +519,13 @@ public Long createUser(UserSaveReqVO reqVO) {
    token 的签发和存储仍在系统服务等其他模块。
 
 2. 当前跨服务透传的是 `login-user`，不是原始 token  
-   所以下游服务能识别当前用户，不等于它一直拿着原始 `Authorization`。
+   所以下游服务能识别当前用户，不等于它一直拿着原始 `Authorization`。  
+3. 单体部署（不经过网关）建议在入口层剥离 `login-user` 请求头，避免外部伪造登录态  
+   - Nginx 示例：  
+     ```nginx
+     # 去除客户端伪造的 login-user 头
+     proxy_set_header login-user "";
+     ```
 
 3. 不加 `@PreAuthorize` 不代表匿名可访问  
    默认仍然需要登录，只是不会进一步做权限点校验。