sentinel黑白名单权限控制

黑白名单权限控制

规则配置

规则创建

  1. 创建一个 AuthorityRule 规则对象
  2. 三个关键要素
    • setStrategy: 黑白名单类型
    • setResource: 规则和资源的绑定关系
    • setLimitApp: 限制的来源
  3. 调用 AuthorityRuleManager.loadRules()加载规则

监听器实例化和管理

AuthorityPropertyListener 监听器来感知黑白名单规则的变化, 将此监听器放入 SentinelProperty 中进行管理

现有疑惑

  1. 没有看到创建监听器AuthorityPropertyListener的地方
  2. 没有看到将监听器添加到监听器管理者的地方, 即调用 SentinelProperty#addListener 方法
  3. 只看到了一句 AuthorityRuleManager.loadRules()

猜测是否创建监听器将监听器添加到监听器管理者两个动作都在AuthorityRuleManager.loadRules()

查验代码发现确实如此

public final class AuthorityRuleManager {// 其它代码...// 创建监听器动作private static final RulePropertyListener LISTENER = new RulePropertyListener();// 将监听器添加到监听器管理者static {// 将黑白名单 Listener 放到 SentinelProperty 当中去管理currentProperty.addListener(LISTENER);}// 其它代码...
}

具体详细代码如下

public final class AuthorityRuleManager {// 资源名称 -> 资源对应的规则private static volatile Map<String, Set<AuthorityRule>> authorityRules = new ConcurrentHashMap<>();// 饿汉式单例模式实例化黑白名单 Listener 对象private static final RulePropertyListener LISTENER = new RulePropertyListener();// Listener对象的管理者private static SentinelProperty<List<AuthorityRule>> currentProperty = new DynamicSentinelProperty<>();static {// 将黑白名单 Listener 放到 SentinelProperty 当中去管理currentProperty.addListener(LISTENER);}// 静态内部类的方式实现 黑白名单Listenerprivate static class RulePropertyListener implements PropertyListener<List<AuthorityRule>> {// 规则初始化@Overridepublic synchronized void configLoad(List<AuthorityRule> value) {}// 规则变更@Overridepublic synchronized void configUpdate(List<AuthorityRule> conf) {}}
}

初始化规则

####初始化规则位置

上述代码已经实例化了黑白名单监听器,并且已经将监听器交由 SentinelProperty 进行管理, 我们知道监听器监听的是规则, 那么还需要初始化规则

通常情况下,在调用 currentProperty.addListener(LISTENER) 之后,我们会再执行一条初始化规则的代码.

但是sentinel没有这么做, 为什么? 因为没必要, 看下述案例, 发现本质都是一样的, 换汤不换药罢了

// 方式一: 调用addListener后, 再调用初始化规则代码
static {// 将监听器交给SentinelProperty管理, 这里的addListener只有添加监听器逻辑currentProperty.addListener(LISTENER);// 初始化规则listener.configLoad(value)
}addListener(...) {// 添加监听器listeners.add(listener);
}// ------------------// 方式二: 将初始化规则代码合并到addListener中
static {// 将监听器交给SentinelProperty管理, 里边方法 currentProperty.addListener(LISTENER);
}addListener(...) {// 添加监听器listeners.add(listener);// 初始化规则listener.configLoad(value);
}

sentinnel真正的做法如下, 将初始化规则动作合并到addListener(), 只要调用 addListener() 方法就会进行规则的初始化, 具体的方法实现如下

public class DynamicSentinelProperty<T> implements SentinelProperty<T> {protected Set<PropertyListener<T>> listeners = new CopyOnWriteArraySet<>();private T value = null;@Overridepublic void addListener(PropertyListener<T> listener) {listeners.add(listener);// 调用黑白名单的初始化规则方法listener.configLoad(value);}
}

此时黑名单规则初始化的流程就明朗了, 如下图所示

  • AuthorityRuleManager初始化时, 调用addListener()
    • 注册监听器
    • 初始化规则
      在这里插入图片描述
初始化规则逻辑configLoad()

DynamicSentinelProperty#addListener()中的configLoad()实际上调用的是AuthorityRuleManager.RulePropertyListener#configLoad(), 也就是下边这块代码

public final class AuthorityRuleManager {// 资源名称 -> 资源对应的规则private static volatile Map<String, Set<AuthorityRule>> authorityRules = new ConcurrentHashMap<>();// 省略上面代码...// 静态内部类的方式实现 黑白名单Listenerprivate static class RulePropertyListener implements PropertyListener<List<AuthorityRule>> {// 规则初始化@Overridepublic synchronized void configLoad(List<AuthorityRule> value) {authorityRules.updateRules(loadAuthorityConf(value));RecordLog.info("[AuthorityRuleManager] Authority rules loaded: {}", authorityRules);}// 规则变更@Overridepublic synchronized void configUpdate(List<AuthorityRule> conf) {authorityRules.updateRules(loadAuthorityConf(conf));RecordLog.info("[AuthorityRuleManager] Authority rules received: {}", authorityRules);}// 加载规则, 这里将资源和资源对应的规则列表放到Map中管理private Map<String, List<AuthorityRule>> loadAuthorityConf(List<AuthorityRule> list) {Map<String, List<AuthorityRule>> newRuleMap = new ConcurrentHashMap<>();if (list == null || list.isEmpty()) {return newRuleMap;}// 遍历每个规则for (AuthorityRule rule : list) {if (!isValidRule(rule)) {RecordLog.warn("[AuthorityRuleManager] Ignoring invalid authority rule when loading new rules: {}", rule);continue;}if (StringUtil.isBlank(rule.getLimitApp())) {rule.setLimitApp(RuleConstant.LIMIT_APP_DEFAULT);}// 获取规则对应的资源名称String identity = rule.getResource();List<AuthorityRule> ruleSet = newRuleMap.get(identity);// 将规则放到 Map 当中if (ruleSet == null) {ruleSet = new ArrayList<>();ruleSet.add(rule);newRuleMap.put(identity, ruleSet);} else {// 一个资源最多只能有一个权限规则,所以忽略多余的规则即可RecordLog.warn("[AuthorityRuleManager] Ignoring redundant rule: {}", rule.toString());}}return newRuleMap;}}
}

我们又知道手动初始化规则的代码是AuthorityRuleManager.loadRules(ruleList), 其实调用

public final class AuthorityRuleManager {// 发现currentProperty其实指向的就是DynamicSentinelProperty, 即上边分析的private static SentinelProperty<List<AuthorityRule>> currentProperty = new DynamicSentinelProperty<>();// 初始化调用的就是这个public static void loadRules(List<AuthorityRule> rules) {// 调用监听器的 updateValue() 方法来通知每一个监听者的 configUpdate() 方法currentProperty.updateValue(rules);}
}public class DynamicSentinelProperty<T> implements SentinelProperty<T> {// 省略其它代码...@Overridepublic boolean updateValue(T newValue) {if (isEqual(value, newValue)) {return false;}RecordLog.info("[DynamicSentinelProperty] Config will be updated to: {}", newValue);// 将传入的规则赋值给valuevalue = newValue;// 遍历通知所有监听者for (PropertyListener<T> listener : listeners) {// 这里调用了configUpdate, 即上边分析的configUpdate()// 具体全类名如下com.alibaba.csp.sentinel.slots.block.authority.AuthorityRuleManager.RulePropertyListener#configUpdatelistener.configUpdate(newValue);}return true;}
}

大家可能会产生一个疑问:静态代码块里不是已经将规则初始化完成了吗?为什么这里调用 loadRules() 方法调用 updateValue() 来通知监听者说规则变更了呢

因为执行静态代码块里的 listener.configLoad(value)时, 这里的全局变量value初始默认为null, 首次调用 listener.configLoad(value) 进行规则初始化是不会成功的, 所以这里又调用loadRules(), 将规则集合参数携带过去, 最终才能正常进入 for 循环遍历规则集合,将其组装成 Map 结构

如下图所示
在这里插入图片描述

到此为止, 规则已经初始化完成且将资源和规则的映射关系放到了Map中存储, 接下来就是对规则的校验

规则验证

黑白名单规则验证是我们责任链中的第五个Slot, 负责校验黑白名单

上边初始化得到一个资源和规则的映射关系的Map, 那么这里来就可以遍历这个map验证是否有访问权限

public class AuthoritySlot extends AbstractLinkedProcessorSlot<DefaultNode> {@Overridepublic void entry(Context context, ResourceWrapper resourceWrapper, DefaultNode node, int count, boolean prioritized, Object... args)throws Throwable {// 规则校验checkBlackWhiteAuthority(resourceWrapper, context);fireEntry(context, resourceWrapper, node, count, prioritized, args);}@Overridepublic void exit(Context context, ResourceWrapper resourceWrapper, int count, Object... args) {fireExit(context, resourceWrapper, count, args);}void checkBlackWhiteAuthority(ResourceWrapper resource, Context context) throws AuthorityException {// 通过AuthorityRuleManager获取获取当前资源的规则集合List<AuthorityRule> rules = AuthorityRuleManager.getRules(resource.getName());if (rules == null) {return;}// 遍历规则for (AuthorityRule rule : rules) {// passCheck进行校验, 如果不通过就抛出AuthorityExceptionif (!AuthorityRuleChecker.passCheck(rule, context)) {throw new AuthorityException(context.getOrigin(), rule);}}}
}

可以看到核心就是AuthorityRuleChecker.passCheck(), 下边分析一下

final class AuthorityRuleChecker {static boolean passCheck(AuthorityRule rule, Context context) {// 获取originString requester = context.getOrigin();// 如果没设置来源,或者没限制app,那直接放行就好了,相当于不做规则限制if (StringUtil.isEmpty(requester) || StringUtil.isEmpty(rule.getLimitApp())) {return true;}// 判断此次请求的来源是不是在limitApp里,注意这里用的是近似精确匹配,但不是绝对精确,// 比如limitApp写的是a,b。然后资源名称假设是",b",那么就出问题了,因为limitApp是按照逗号隔开的,但是资源却包含了逗号// 这样的话下面算法就是 contain=true,这显然是不对的int pos = rule.getLimitApp().indexOf(requester);// 这里判断是都大于-1, 进而得到limitapp是否包含originboolean contain = pos > -1;// 如果近似精确匹配成功的话,在进行精确匹配if (contain) {boolean exactlyMatch = false;// 使用英文逗号进行切割limitapp(可以设置多个limitapp,之间是用逗号分隔的)String[] appArray = rule.getLimitApp().split(",");for (String app : appArray) {if (requester.equals(app)) {exactlyMatch = true;break;}}contain = exactlyMatch;}int strategy = rule.getStrategy();// 如果是黑名单,并且此次请求的来源在limitApp里if (strategy == RuleConstant.AUTHORITY_BLACK && contain) {// 返回false, 表示限流return false;}// 如果配置是白名单, 并且origin不在limitAppif (strategy == RuleConstant.AUTHORITY_WHITE && !contain) {// 返回false, 表示限流return false;}// 执行到这里说明, 就通过了校验, 放行// 1. 如果是黑名单, 那么origin就不在limitApp内// 2. 如果是白名单, 那么origin在limitApp内return true;}private AuthorityRuleChecker() {}
}

验证流程图如下
在这里插入图片描述

仅当调用源不为空且规则配置了黑名单或白名单时,才会执行黑白名单的筛选逻辑。这表明,实现黑白名单限流的前提条件是,每个客户端在发起请求时都必须将自己服务唯一标志放到 Context 的 origin 里

  • context.getOrigin() 方法,因此在做黑白名单规则控制的时候,我们需要先定义好一个 origin,这个 origin 可以是userId,也可以是IP地址,还可以是项目名称等,比如我们将 userId 为 1 和 2 的用户加入黑名单,那么我们就需要在每次请求此资源时在Context的origin里添加上userId,这个实现起来也很简单,可以搞个AOP每次都从header 或其他地方获取userId, 然后放到 Context 的origin里即可

参考资料

通关 Sentinel 流量治理框架 - 编程界的小學生 )

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/760397.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Leetcode】top 100 链表

基础知识补充 单向链表结构&#xff1a;item存储数据 next指向下一结点地址 head保存首地址 class Node(object): # 创建结点def __init__(self, item): self.item item # item存放数据元素self.next None # next是下一个…

【教程】混淆代码保护与优化

在本文中&#xff0c;我们将介绍如何在iOS项目中利用混淆技术来保护源代码安全并实现优化。我们将分别针对Swift和OC项目&#xff0c;详细介绍如何使用脚本和工具进行代码混淆&#xff0c;并解决在混淆过程中可能遇到的问题。随着移动应用市场的不断扩大&#xff0c;iOS应用的安…

Mysql编译安装

首先准备两个包&#xff1a;mysql-5.7.17.tar.gz和boost_1_59_0.tar.gz yum -y install gcc gcc-c ncurses ncurses-devel bison cmake 然后创建程序用户管理 useradd -s /sbin/nologin mysql 接着解压包 tar zxvf mysql-5.7.17.tar.gz -C /opt tar zxvf boost_1_59_0.tar.…

美团一面3月20日

优选部门 1.面向对象编程是什么 2.面向对象特性&#xff0c;分别说说 3.Java里面有几种修饰符 4.不加修饰符和protect什么区别 5.接口和抽象类的区别 6.了解哪些设计模式 7.手写单例模式 8.写的synchronized什么作用&#xff0c;&#xff08;.class&#xff09;是什么意思&…

使用Pygame做一个乒乓球游戏

项目介绍 使用Pygame做一个乒乓球游戏。左侧为电脑&#xff0c;右侧为玩家。 视频地址-YT 视频搬运-B站 视频教程约90分钟。 代码地址 环境&#xff1a;需要pygame库&#xff0c;可用pip安装&#xff1a;pip install pygame 1. 基础版本 首先进行一些初始化&#xff0c;初始…

线性结构-线性表

线性结构-线性表 数据结构中的逻辑结构分为线性结构和非线性结构&#xff0c;线性结构是n个数据元素的有序&#xff08;次序&#xff09;集合&#xff0c;它有下列几个特征&#xff1a; 1&#xff0e;集合中必存在唯一的一个"第一个元素"&#xff1b; 2&#xff0…

java NIO群聊系统

demo要求&#xff1a; 1&#xff09;编写一个NIO群聊系统&#xff0c;实现服务器端和客户端之间的数据简单通讯&#xff08;非阻塞&#xff09; 2&#xff09;实现多人群聊 3&#xff09;服务器端&#xff1a;可以监测用户上线&#xff0c;离线&#xff0c;并实现消息转发功…

python 爬虫 地理空间DEM 制作中国地形

一.配置Python 爬虫 环境 from selenium import webdriver import time # from selenium.webdriver.common.action_chains import ActionChains from selenium.webdriver.common.by import Byfrom selenium.webdriver.common.keys import Keys # from selenium.webdriver.comm…

Langchain-chatchat+ChatGlm3-6b部署

我的环境 升级了下配置&#xff0c;加载知识库成功 内存&#xff1a;16GB 32B 显卡&#xff1a;GTX1060-6G RTX4080 Laptop-12G 1. 基础环境准备 1.1. 安装anaconda&#xff0c;创建环境python版本3.11 conda create -n chatglm3 python3.11 conda activate chatglm3 1.…

如何在CentOS搭建docker compose ui可视化工具并无公网IP远程管理容器

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

蓝桥杯 2023 省A 更小的数

主要思路&#xff1a; 输入一个长度为n的字符串&#xff0c;用二维数组dp[i][j]来记录子串[i, j]是否需要反转一次才能满足条件。使用动态规划自底向上地填充dp数组。根据问题的要求&#xff0c;需要考虑字符串的子串中字符的大小关系来判断是否需要反转。最后统计满足条件的子…

静态扭矩,是用公称扭矩还是最小动态扭矩作为对比?——​suntorque智能扭矩系统​

在机械工程和动力学领域&#xff0c;扭矩是一个至关重要的概念。当我们讨论到扭矩时&#xff0c;常常会遇到静态扭矩和动态扭矩的说法。特别是在实际应用中&#xff0c;工程师们经常需要对比和选择使用哪种扭矩作为参考。那么&#xff0c;静态扭矩&#xff0c;是用公称扭矩还是…

【C/C++】详解 assert() 断言(什么是assert? assert有什么作用?)

目录 一、前言 二、什么是 assert ? 三、assert 的用法 四、assert 案例解析 五、assert 断言的使用原则 六、共勉 一、前言 在编写程序过程中&#xff0c;尤其是调试代码时&#xff0c;往往需要一个提醒代码漏洞/Bug的小助手&#xff0c;以便于程序员及时修改和完善代码…

LeetCode 回文排列 java题解

题目 字符总数奇数&#xff1a;最多一个字符出现奇数次 字符总数偶数&#xff1a;所有字符都出现偶数次 可以使用哈希表。存储次数后再遍历哈希表判断是否符合。为了避免遍历&#xff0c;两次遇到同样的字符&#xff0c;一次加一次减就可以消掉&#xff0c;出现偶数次的字符最终…

C语言例3-38:强制类型转换的例子

数据类型强制转换的一般格式 &#xff08;数据类型符&#xff09;&#xff08;表达式&#xff09; &#xff01;&#xff01;&#xff01;注&#xff1a;第一个括号不能省略&#xff1b;第二个括号内是单个常量或变量时可省略。 例3-38&#xff1a;强制类型转换的例子 (doub…

109 项目整合 spring-quartz 启动自动执行定时任务

前言 项目中使用了 quartz 来支持定时任务的相关基础支撑, 但是 最近添加了一个 资源消耗比较高的定时任务, 发布到测试环境之后, 发现服务突然 起不起来了[资源比较有限] 然后 查看了一下日志, 这个定时任务怎么在执行?, 不是 配置的是 凌晨两点么, 然后 仔细一看 几乎配置…

python课后习题一

题目&#xff1a; 1. 2. 解题过程&#xff1a; 1. """计算年数和天数""" minute int(input("请输入分钟数&#xff1a;")) hours minute // 60 days hours // 24 years days // 365 last_days days % 365 print(f"{minut…

【IEDM2023】背势垒电荷运动诱导GaN HEMT随时间的非稳态击穿

分享一篇2023年IEDM上GaN HEMT&#xff08;高电子迁移率晶体管&#xff09;的研究论文&#xff0c;标题为“Charge Movement in Back Barrier Induced Time-Dependent On-State Breakdown of GaN HEMT”。论文讨论了在GaN HEMT中&#xff0c;由于背栅&#xff08;Back Barrier&…

BigDecimal类的使用,用于精确计算任意精度的数字

BigDecimal类 BigDecimal 是 Java 中用于精确表示任意精度的十进制数的类。在很多情况下,使用基本数据类型(如 double 或 float)进行浮点数计算可能会导致精度丢失或舍入错误。BigDecimal 提供了一种更精确的解决方案,可以处理需要高精度计算的场景,比如财务应用或科学计算…

文本处理基本方法

目录 分词 jieba 词性标注 &#x1f606;&#x1f606;&#x1f606;感谢大家观看&#x1f606;&#x1f606;&#x1f606; 分词 在中文文本中&#xff0c;由于词与词之间没有明显的界限符&#xff0c;如英文中的空格&#xff0c;因此分词是中文自然语言处理的一个基础且…