一、引子

上一节分析了SystemSlot是如何进行系统规则的检查的，检查了系统的qps，rt，thead，负载。

接下来继续分析Slot链的下一个插槽AuthoritySlot（黑白名单控制）。

二、黑白名单控制

很多时候，我们需要根据调用方来限制资源是否通过，这时候可以使用 Sentinel 的黑白名单控制的功能。黑白名单根据资源的请求来源（origin）限制资源是否通过，若配置白名单则只有请求来源位于白名单内时才可通过；若配置黑名单则请求来源位于黑名单时不通过，其余的请求通过。

调用方信息通过 ContextUtil.enter(resourceName, origin) 方法中的 origin 参数传入。

规则配置

黑白名单规则（AuthorityRule）非常简单，主要有以下配置项：

• resource：资源名，即限流规则的作用对象
• limitApp：对应的黑名单/白名单，不同 origin 用 , 分隔，如 appA,appB
• strategy：限制模式，AUTHORITY_WHITE 为白名单模式，AUTHORITY_BLACK 为黑名单模式，默认为白名单模式

三、源码分析

1、AuthoritySlot

public class AuthoritySlot extends AbstractLinkedProcessorSlot<DefaultNode> {

    @Override
    public void entry(Context context, ResourceWrapper resourceWrapper, DefaultNode node, int count, boolean prioritized, Object... args)
        throws Throwable {
        checkBlackWhiteAuthority(resourceWrapper, context);
        fireEntry(context, resourceWrapper, node, count, prioritized, args);
    }

    @Override
    public void exit(Context context, ResourceWrapper resourceWrapper, int count, Object... args) {
        fireExit(context, resourceWrapper, count, args);
    }

    void checkBlackWhiteAuthority(ResourceWrapper resource, Context context) throws AuthorityException {
        Map<String, List<AuthorityRule>> authorityRules = AuthorityRuleManager.getAuthorityRules();

        if (authorityRules == null) {
            return;
        }

        List<AuthorityRule> rules = authorityRules.get(resource.getName());
        if (rules == null) {
            return;
        }

        for (AuthorityRule rule : rules) {
            if (!AuthorityRuleChecker.passCheck(rule, context)) {
                throw new AuthorityException(context.getOrigin());
            }
        }
    }
}

1.在checkBlackWhiteAuthority方法中，首先通过AuthorityRuleManager获取得到所有的规则，AuthorityRuleManager是授权规则的管理类，可以动态获取从dashboard增加的规则。
2.根据资源名获取该资源对应的规则
3.调用AuthorityRuleChecker的pass方法进行授权规则的校验，如果返回false说明被拦截了，则抛出一个异常。

2、AuthorityRuleChecker

AuthorityRuleChecker就是授权规则检测的类，该类是个final修饰的，下面具体分析。

final class AuthorityRuleChecker {

    static boolean passCheck(AuthorityRule rule, Context context) {
        String requester = context.getOrigin();

        // Empty origin or empty limitApp will pass.
        if (StringUtil.isEmpty(requester) || StringUtil.isEmpty(rule.getLimitApp())) {
            return true;
        }

        // Do exact match with origin name.
        int pos = rule.getLimitApp().indexOf(requester);
        boolean contain = pos > -1;

        if (contain) {
            boolean exactlyMatch = false;
            String[] appArray = rule.getLimitApp().split(",");
            for (String app : appArray) {
                if (requester.equals(app)) {
                    exactlyMatch = true;
                    break;
                }
            }

            contain = exactlyMatch;
        }

        int strategy = rule.getStrategy();
        if (strategy == RuleConstant.AUTHORITY_BLACK && contain) {
            return false;
        }

        if (strategy == RuleConstant.AUTHORITY_WHITE && !contain) {
            return false;
        }

        return true;
    }

    private AuthorityRuleChecker() {}
}

1.首先通过context.getOrigin()获取请求源，并判断requester和limitApp是否为空。
2.先用requester做精确匹配是否在字符串limitApp中，对于授权规则limitApp可以有多个，用逗号(,)分隔。
3.然后再判断requester是否是配置limitApp中的其中的一个，这里为什么会有第二步，因为如果limitApp字符串都不包含requester的话，requester肯定不在limitApp中，可以理解第二步是一个预判断。
4.获取rule.getStrategy()的策略，这里的策略有两个。

    public static final int AUTHORITY_WHITE = 0;  //白名单
    public static final int AUTHORITY_BLACK = 1;  //黑名单

5.如果配置的策略是黑名单且requester在配置在limitApp中，则请求拦截。
6.如果配置的策略是白名单且requester在配置不在limitApp中，则请求拦截。
7.否则请求不拦截。

四、我的总结

1、AuthoritySlot插槽是整个插槽链规则校验的第二个，用于授权规则设置的校验。
2、授权规则有三个配置项：resource(资源名)，limitApp(限制来源)，strategy(策略)。
3、limitApp可以有多个，用逗号分隔。strategy有两个策略，白名单、黑名单。
4、系统规则限制可以用一句话就说明：如果配置的策略是黑名单且requester在配置在limitApp中，则请求拦截；如果配置的策略是白名单且requester在配置不在limitApp中，则请求拦截；否则请求不拦截。