一、引子
上一节分析了SystemSlot是如何进行系统规则的检查的,检查了系统的qps,rt,thead,负载。
接下来继续分析Slot链的下一个插槽AuthoritySlot(黑白名单控制)。
二、黑白名单控制
很多时候,我们需要根据调用方来限制资源是否通过,这时候可以使用 Sentinel 的黑白名单控制的功能。黑白名单根据资源的请求来源(origin)限制资源是否通过,若配置白名单则只有请求来源位于白名单内时才可通过;若配置黑名单则请求来源位于黑名单时不通过,其余的请求通过。
调用方信息通过
ContextUtil.enter(resourceName, origin)方法中的origin参数传入。
规则配置
黑白名单规则(AuthorityRule)非常简单,主要有以下配置项:
- resource:资源名,即限流规则的作用对象
- limitApp:对应的黑名单/白名单,不同 origin 用 , 分隔,如 appA,appB
- strategy:限制模式,AUTHORITY_WHITE 为白名单模式,AUTHORITY_BLACK 为黑名单模式,默认为白名单模式
三、源码分析
1、AuthoritySlot
public class AuthoritySlot extends AbstractLinkedProcessorSlot {
@Override
public void entry(Context context, ResourceWrapper resourceWrapper, DefaultNode node, int count, boolean prioritized, Object... args)
throws Throwable {
checkBlackWhiteAuthority(resourceWrapper, context);
fireEntry(context, resourceWrapper, node, count, prioritized, args);
}
@Override
public void exit(Context context, ResourceWrapper resourceWrapper, int count, Object... args) {
fireExit(context, resourceWrapper, count, args);
}
void checkBlackWhiteAuthority(ResourceWrapper resource, Context context) throws AuthorityException {
Map> authorityRules = AuthorityRuleManager.getAuthorityRules();
if (authorityRules == null) {
return;
}
List rules = authorityRules.get(resource.getName());
if (rules == null) {
return;
}
for (AuthorityRule rule : rules) {
if (!AuthorityRuleChecker.passCheck(rule, context)) {
throw new AuthorityException(context.getOrigin());
}
}
}
}
1.在checkBlackWhiteAuthority方法中,首先通过AuthorityRuleManager获取得到所有的规则,AuthorityRuleManager是授权规则的管理类,可以动态获取从dashboard增加的规则。
2.根据资源名获取该资源对应的规则
3.调用AuthorityRuleChecker的pass方法进行授权规则的校验,如果返回false说明被拦截了,则抛出一个异常。
2、AuthorityRuleChecker
AuthorityRuleChecker就是授权规则检测的类,该类是个final修饰的,下面具体分析。
final class AuthorityRuleChecker {
static boolean passCheck(AuthorityRule rule, Context context) {
String requester = context.getOrigin();
// Empty origin or empty limitApp will pass.
if (StringUtil.isEmpty(requester) || StringUtil.isEmpty(rule.getLimitApp())) {
return true;
}
// Do exact match with origin name.
int pos = rule.getLimitApp().indexOf(requester);
boolean contain = pos > -1;
if (contain) {
boolean exactlyMatch = false;
String[] appArray = rule.getLimitApp().split(",");
for (String app : appArray) {
if (requester.equals(app)) {
exactlyMatch = true;
break;
}
}
contain = exactlyMatch;
}
int strategy = rule.getStrategy();
if (strategy == RuleConstant.AUTHORITY_BLACK && contain) {
return false;
}
if (strategy == RuleConstant.AUTHORITY_WHITE && !contain) {
return false;
}
return true;
}
private AuthorityRuleChecker() {}
}
1.首先通过context.getOrigin()获取请求源,并判断requester和limitApp是否为空。
2.先用requester做精确匹配是否在字符串limitApp中,对于授权规则limitApp可以有多个,用逗号(,)分隔。
3.然后再判断requester是否是配置limitApp中的其中的一个,这里为什么会有第二步,因为如果limitApp字符串都不包含requester的话,requester肯定不在limitApp中,可以理解第二步是一个预判断。
4.获取rule.getStrategy()的策略,这里的策略有两个。
public static final int AUTHORITY_WHITE = 0; //白名单
public static final int AUTHORITY_BLACK = 1; //黑名单
5.如果配置的策略是黑名单且requester在配置在limitApp中,则请求拦截。
6.如果配置的策略是白名单且requester在配置不在limitApp中,则请求拦截。
7.否则请求不拦截。
四、我的总结
1、AuthoritySlot插槽是整个插槽链规则校验的第二个,用于授权规则设置的校验。
2、授权规则有三个配置项:resource(资源名),limitApp(限制来源),strategy(策略)。
3、limitApp可以有多个,用逗号分隔。strategy有两个策略,白名单、黑名单。
4、系统规则限制可以用一句话就说明:如果配置的策略是黑名单且requester在配置在limitApp中,则请求拦截;如果配置的策略是白名单且requester在配置不在limitApp中,则请求拦截;否则请求不拦截。