futu_auth/

limits.rs

//! 限额：单笔、日累计、市场/品种白名单、时间窗口

use std::collections::{HashSet, VecDeque};

use chrono::{DateTime, Local, NaiveDate, NaiveTime, Utc};
use dashmap::DashMap;
use parking_lot::Mutex;
use serde::{Deserialize, Serialize};

/// 限额配置（与 KeyRecord 字段平级，独立出来便于传递）
#[derive(Debug, Clone, Default, Serialize, Deserialize)]
pub struct Limits {
    pub allowed_markets: Option<HashSet<String>>,
    pub allowed_symbols: Option<HashSet<String>>,
    pub max_order_value: Option<f64>,
    pub max_daily_value: Option<f64>,
    pub hours_window: Option<String>,
    /// 每分钟下单次数上限（滑动窗口，None 表示不限）。挡 spray-and-pray
    /// 类攻击：即使每单小于 max_order_value、日累计也够，也限制速率。
    #[serde(default, skip_serializing_if = "Option::is_none")]
    pub max_orders_per_minute: Option<u32>,
    /// 允许的交易方向白名单：例如 `["SELL"]` = 只让平仓 bot 卖；
    /// None / 空集 → 不限。大小写敏感，用 `"BUY"` / `"SELL"` / `"SELL_SHORT"` / `"BUY_BACK"`。
    #[serde(default, skip_serializing_if = "Option::is_none")]
    pub allowed_trd_sides: Option<HashSet<String>>,
}

/// 限额检查上下文：一次下单的 market/symbol/金额/方向
#[derive(Debug, Clone)]
pub struct CheckCtx {
    /// "HK" / "US" / "CN" / "HKCC" 等
    pub market: String,
    /// "HK.00700" 格式（market + code）；**空串** 表示调用方无法推导 symbol
    /// （改单 / 撤单路径），此时 symbol 白名单检查被跳过（但 market 仍会被校验）。
    pub symbol: String,
    /// qty × price（本币）；None 表示无法计算（如 MARKET 单），跳过金额检查
    pub order_value: Option<f64>,
    /// 交易方向字符串（`"BUY"` / `"SELL"` / ...）；None 表示无需方向校验
    /// （改单 / 撤单路径）
    pub trd_side: Option<String>,
}

/// 限额检查结果
#[derive(Debug, Clone, PartialEq)]
pub enum LimitOutcome {
    Allow,
    Reject(String),
}

/// 日累计计数器（UTC 日滚）
#[derive(Debug)]
struct DailyCounter {
    day: Mutex<NaiveDate>,
    total: Mutex<f64>,
}

impl DailyCounter {
    fn new(day: NaiveDate) -> Self {
        Self {
            day: Mutex::new(day),
            total: Mutex::new(0.0),
        }
    }

    /// 尝试叠加 amount；若超过 max 则返回 Err
    fn try_add(&self, amount: f64, max: Option<f64>, today: NaiveDate) -> Result<f64, String> {
        let mut day = self.day.lock();
        let mut total = self.total.lock();
        if *day != today {
            *day = today;
            *total = 0.0;
        }
        let next = *total + amount;
        if let Some(cap) = max {
            if next > cap + f64::EPSILON {
                return Err(format!(
                    "daily value cap exceeded: {next:.2} > {cap:.2} (current={:.2} + order={:.2})",
                    *total, amount
                ));
            }
        }
        *total = next;
        Ok(next)
    }

    #[cfg(test)]
    fn peek_total(&self) -> f64 {
        *self.total.lock()
    }
}

/// 每 key 的下单时间戳环形缓冲（用于 per-minute 滑动窗口速率限制）
///
/// 存 `DateTime<Utc>` 而不是 `Instant` 是为了单元测试时能手动注入 now；
/// 生产环境 now 总是 `Utc::now()`。
#[derive(Debug, Default)]
struct RateWindow {
    recent: Mutex<VecDeque<DateTime<Utc>>>,
}

impl RateWindow {
    /// 尝试记录一次下单；若 60s 内已有 ≥ max 次则 Err
    fn try_record(&self, now: DateTime<Utc>, max: u32) -> Result<u32, String> {
        let mut recent = self.recent.lock();
        let cutoff = now - chrono::Duration::seconds(60);
        while let Some(front) = recent.front() {
            if *front < cutoff {
                recent.pop_front();
            } else {
                break;
            }
        }
        if recent.len() as u32 >= max {
            return Err(format!(
                "rate limit exceeded: {} orders in the last 60s (cap {})",
                recent.len(),
                max
            ));
        }
        recent.push_back(now);
        Ok(recent.len() as u32)
    }
}

/// 运行时限额状态：每 key 的日累计计数器 + 速率窗口
#[derive(Debug, Default)]
pub struct RuntimeCounters {
    counters: DashMap<String, DailyCounter>,
    rates: DashMap<String, RateWindow>,
}

impl RuntimeCounters {
    pub fn new() -> Self {
        Self::default()
    }

    /// 执行全部限额检查；通过则（若提供 order_value）累加日计数 + 记录速率窗口时间戳
    ///
    /// 检查顺序：市场 → 品种 → 方向 → 时间窗 → 单笔 → 速率 → 日累计。
    /// 前面的便宜检查先跑；日累计放最后是因为它有副作用（累加），
    /// 前面 reject 就不该动计数器。
    pub fn check_and_commit(
        &self,
        key_id: &str,
        limits: &Limits,
        ctx: &CheckCtx,
        now: DateTime<Utc>,
    ) -> LimitOutcome {
        // 1. 市场白名单（market 空串跳过：REST / gRPC 的 auth 层通常拿不到具体
        //    market，只想跑 rate + hours 的全局闸门；对齐 symbol / trd_side 的
        //    "信息缺失时不卡"语义）
        if let Some(markets) = &limits.allowed_markets {
            if !markets.is_empty() && !ctx.market.is_empty() && !markets.contains(&ctx.market) {
                return LimitOutcome::Reject(format!(
                    "market {:?} not in allowed list {:?}",
                    ctx.market, markets
                ));
            }
        }

        // 2. 品种白名单（symbol 为空串时跳过：改单 / 撤单路径没法给出 symbol，
        //    此时仅靠 market 白名单把关；想下单到非白名单的 symbol 一开始就会
        //    在 place_order 阶段被挡住，改单/撤单不构成新的攻击面）
        if let Some(symbols) = &limits.allowed_symbols {
            if !symbols.is_empty() && !ctx.symbol.is_empty() && !symbols.contains(&ctx.symbol) {
                return LimitOutcome::Reject(format!(
                    "symbol {:?} not in allowed list",
                    ctx.symbol
                ));
            }
        }

        // 3. 交易方向白名单（只在提供了 trd_side 时才校验）
        if let (Some(allowed), Some(side)) = (&limits.allowed_trd_sides, &ctx.trd_side) {
            if !allowed.is_empty() && !allowed.contains(side) {
                return LimitOutcome::Reject(format!(
                    "trd_side {side:?} not in allowed list {allowed:?}"
                ));
            }
        }

        // 4. 时间窗口
        if let Some(spec) = &limits.hours_window {
            match parse_window(spec) {
                Ok((start, end)) => {
                    let now_local = now.with_timezone(&Local).time();
                    if !in_window(now_local, start, end) {
                        return LimitOutcome::Reject(format!(
                            "outside hours window {spec} (now={})",
                            now_local.format("%H:%M")
                        ));
                    }
                }
                Err(e) => {
                    return LimitOutcome::Reject(format!("invalid hours_window {spec:?}: {e}"));
                }
            }
        }

        // 5. 单笔上限
        if let Some(value) = ctx.order_value {
            if let Some(cap) = limits.max_order_value {
                if value > cap + f64::EPSILON {
                    return LimitOutcome::Reject(format!(
                        "order value {value:.2} exceeds per-order cap {cap:.2}"
                    ));
                }
            }
        }

        // 6. per-minute 速率（有副作用：push 到窗口。若后面日累计 reject 则这条时间戳
        //    会留在窗口里，被视为一次"尝试过的"下单 —— 这比较保守，但可接受：
        //    频繁触发日累计本身就该看到速率限制收紧）
        if let Some(max) = limits.max_orders_per_minute {
            let window = self.rates.entry(key_id.to_string()).or_default();
            if let Err(e) = window.try_record(now, max) {
                return LimitOutcome::Reject(e);
            }
        }

        // 7. 日累计上限（仅在 order_value 可算且有 cap 时才累加）
        if let (Some(value), Some(_)) = (ctx.order_value, limits.max_daily_value) {
            let today = now.date_naive();
            let counter = self
                .counters
                .entry(key_id.to_string())
                .or_insert_with(|| DailyCounter::new(today));
            match counter.try_add(value, limits.max_daily_value, today) {
                Ok(_) => {}
                Err(e) => return LimitOutcome::Reject(e),
            }
        }

        LimitOutcome::Allow
    }

    /// handler 层细粒度检查：跑 market / symbol / trd_side / hours / per_order /
    /// daily 全套，**但跳过 rate** —— rate 已经在 auth 中间件层（v1.0）
    /// commit 过了，handler 再 commit 一次会让 rate 窗口计 2 次。
    ///
    /// 典型用法：REST `/api/order` 路由 / gRPC `request(2202)` 这种 handler
    /// 已经知道完整下单参数（market/symbol/value/side），调用方先在 middleware
    /// 跑 rate+hours 全局闸门（`check_and_commit` with empty CheckCtx），过了
    /// 再在 handler 里跑这个方法做细粒度检查。
    ///
    /// **注意**：daily 计数器**会**累加 —— 这是必须的，因为 rate 不能算"额度"，
    /// daily 才是真实金额额度。
    pub fn check_full_skip_rate(
        &self,
        key_id: &str,
        limits: &Limits,
        ctx: &CheckCtx,
        now: DateTime<Utc>,
    ) -> LimitOutcome {
        // 1. 市场白名单（同 check_and_commit step 1）
        if let Some(markets) = &limits.allowed_markets {
            if !markets.is_empty() && !ctx.market.is_empty() && !markets.contains(&ctx.market) {
                return LimitOutcome::Reject(format!(
                    "market {:?} not in allowed list {:?}",
                    ctx.market, markets
                ));
            }
        }

        // 2. 品种白名单
        if let Some(symbols) = &limits.allowed_symbols {
            if !symbols.is_empty() && !ctx.symbol.is_empty() && !symbols.contains(&ctx.symbol) {
                return LimitOutcome::Reject(format!(
                    "symbol {:?} not in allowed list",
                    ctx.symbol
                ));
            }
        }

        // 3. 交易方向白名单
        if let (Some(allowed), Some(side)) = (&limits.allowed_trd_sides, &ctx.trd_side) {
            if !allowed.is_empty() && !allowed.contains(side) {
                return LimitOutcome::Reject(format!(
                    "trd_side {side:?} not in allowed list {allowed:?}"
                ));
            }
        }

        // 4. 时间窗口（auth 层已经做过，这里冗余但便宜）
        if let Some(spec) = &limits.hours_window {
            match parse_window(spec) {
                Ok((start, end)) => {
                    let now_local = now.with_timezone(&Local).time();
                    if !in_window(now_local, start, end) {
                        return LimitOutcome::Reject(format!(
                            "outside hours window {spec} (now={})",
                            now_local.format("%H:%M")
                        ));
                    }
                }
                Err(e) => {
                    return LimitOutcome::Reject(format!("invalid hours_window {spec:?}: {e}"));
                }
            }
        }

        // 5. 单笔上限
        if let Some(value) = ctx.order_value {
            if let Some(cap) = limits.max_order_value {
                if value > cap + f64::EPSILON {
                    return LimitOutcome::Reject(format!(
                        "order value {value:.2} exceeds per-order cap {cap:.2}"
                    ));
                }
            }
        }

        // 6. **跳过 rate**（已在 auth 层 commit）

        // 7. 日累计上限（仅在 order_value 可算且有 cap 时才累加）
        if let (Some(value), Some(_)) = (ctx.order_value, limits.max_daily_value) {
            let today = now.date_naive();
            let counter = self
                .counters
                .entry(key_id.to_string())
                .or_insert_with(|| DailyCounter::new(today));
            match counter.try_add(value, limits.max_daily_value, today) {
                Ok(_) => {}
                Err(e) => return LimitOutcome::Reject(e),
            }
        }

        LimitOutcome::Allow
    }

    #[cfg(test)]
    fn peek_total(&self, key_id: &str) -> f64 {
        self.counters
            .get(key_id)
            .map(|c| c.peek_total())
            .unwrap_or(0.0)
    }
}

fn parse_window(s: &str) -> Result<(NaiveTime, NaiveTime), String> {
    let (l, r) = s
        .split_once('-')
        .ok_or_else(|| format!("expect HH:MM-HH:MM, got {s:?}"))?;
    let parse = |p: &str| {
        NaiveTime::parse_from_str(p.trim(), "%H:%M").map_err(|e| format!("bad time {p:?}: {e}"))
    };
    Ok((parse(l)?, parse(r)?))
}

/// 判断 `t` 是否在 [start,end) 窗口内；跨午夜时 start>end
fn in_window(t: NaiveTime, start: NaiveTime, end: NaiveTime) -> bool {
    if start <= end {
        t >= start && t < end
    } else {
        // 跨午夜：22:00-04:00
        t >= start || t < end
    }
}

#[cfg(test)]
mod tests {
    use super::*;

    fn mk_limits() -> Limits {
        Limits {
            allowed_markets: Some(["HK".to_string()].into_iter().collect()),
            allowed_symbols: Some(["HK.00700".to_string()].into_iter().collect()),
            max_order_value: Some(10_000.0),
            max_daily_value: Some(25_000.0),
            hours_window: None,
            max_orders_per_minute: None,
            allowed_trd_sides: None,
        }
    }

    fn mk_ctx(market: &str, symbol: &str, value: Option<f64>) -> CheckCtx {
        CheckCtx {
            market: market.into(),
            symbol: symbol.into(),
            order_value: value,
            trd_side: None,
        }
    }

    #[test]
    fn market_whitelist() {
        let rc = RuntimeCounters::new();
        let lim = mk_limits();
        let ctx = mk_ctx("US", "HK.00700", Some(100.0));
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn symbol_whitelist() {
        let rc = RuntimeCounters::new();
        let lim = mk_limits();
        let ctx = mk_ctx("HK", "HK.09988", Some(100.0));
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn per_order_cap() {
        let rc = RuntimeCounters::new();
        let lim = mk_limits();
        let ctx = mk_ctx("HK", "HK.00700", Some(20_000.0));
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn daily_cap() {
        let rc = RuntimeCounters::new();
        let lim = mk_limits();
        let mk = |v: f64| mk_ctx("HK", "HK.00700", Some(v));
        assert_eq!(
            rc.check_and_commit("k", &lim, &mk(9_000.0), Utc::now()),
            LimitOutcome::Allow
        );
        assert_eq!(
            rc.check_and_commit("k", &lim, &mk(9_000.0), Utc::now()),
            LimitOutcome::Allow
        );
        // 18000 + 9000 = 27000 > 25000
        assert!(matches!(
            rc.check_and_commit("k", &lim, &mk(9_000.0), Utc::now()),
            LimitOutcome::Reject(_)
        ));
        assert_eq!(rc.peek_total("k"), 18_000.0);
    }

    #[test]
    fn side_whitelist_blocks_wrong_side() {
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.allowed_trd_sides = Some(["SELL".to_string()].into_iter().collect());
        let ctx = CheckCtx {
            market: "HK".into(),
            symbol: "HK.00700".into(),
            order_value: Some(100.0),
            trd_side: Some("BUY".into()),
        };
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn side_whitelist_passes_right_side() {
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.allowed_trd_sides = Some(["SELL".to_string()].into_iter().collect());
        let ctx = CheckCtx {
            market: "HK".into(),
            symbol: "HK.00700".into(),
            order_value: Some(100.0),
            trd_side: Some("SELL".into()),
        };
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Allow
        );
    }

    #[test]
    fn side_whitelist_skipped_when_ctx_has_no_side() {
        // 改单 / 撤单没有 side 信息，白名单不应生效（避免误伤）
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.allowed_trd_sides = Some(["SELL".to_string()].into_iter().collect());
        let ctx = mk_ctx("HK", "HK.00700", Some(100.0));
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Allow
        );
    }

    #[test]
    fn market_whitelist_skipped_when_ctx_market_is_empty() {
        // REST / gRPC 的 auth 层只想跑 rate + hours，不关心具体 market；
        // market 空串应视为"不知道"，白名单不启用
        let rc = RuntimeCounters::new();
        let lim = mk_limits(); // allowed_markets = {HK}
        let ctx = CheckCtx {
            market: "".into(),
            symbol: "".into(),
            order_value: None,
            trd_side: None,
        };
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Allow
        );
        // market 给了非白名单值仍然拒
        let ctx_us = CheckCtx {
            market: "US".into(),
            symbol: "".into(),
            order_value: None,
            trd_side: None,
        };
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx_us, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn symbol_whitelist_skipped_when_ctx_symbol_is_empty() {
        // 改单 / 撤单的 CheckCtx 给不出 symbol，白名单不应把它们挡死；
        // market 白名单仍然生效（用 req.market 填充）。
        let rc = RuntimeCounters::new();
        let lim = mk_limits(); // allowed_symbols = {HK.00700}
        let ctx = CheckCtx {
            market: "HK".into(),
            symbol: "".into(),
            order_value: None,
            trd_side: None,
        };
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, Utc::now()),
            LimitOutcome::Allow
        );
        // 但 market 不符还是拒
        let ctx_wrong_market = CheckCtx {
            market: "US".into(),
            symbol: "".into(),
            order_value: None,
            trd_side: None,
        };
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx_wrong_market, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn check_full_skip_rate_does_not_double_count_rate() {
        // handler 层和 auth 层分工：auth commit rate；handler skip rate。
        // 同一 ctx 跑 1 次 commit + 100 次 skip_rate 应该只在 rate 窗口里有 1 条
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.max_orders_per_minute = Some(2);
        let ctx = mk_ctx("HK", "HK.00700", Some(100.0));
        let now = Utc::now();
        // auth 层 commit 1 次
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, now),
            LimitOutcome::Allow
        );
        // handler 层 skip_rate 跑 100 次都应 allow，rate 计数仍是 1
        for _ in 0..100 {
            assert_eq!(
                rc.check_full_skip_rate("k", &lim, &ctx, now),
                LimitOutcome::Allow
            );
        }
        // 再 commit 1 次（rate=2）→ allow；第 3 次 commit 才超
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, now),
            LimitOutcome::Allow
        );
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, now),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn check_full_skip_rate_still_enforces_market_symbol_side_value_daily() {
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.allowed_trd_sides = Some(["SELL".to_string()].into_iter().collect());

        // market 错 → reject
        assert!(matches!(
            rc.check_full_skip_rate(
                "k",
                &lim,
                &mk_ctx("US", "HK.00700", Some(100.0)),
                Utc::now()
            ),
            LimitOutcome::Reject(_)
        ));
        // symbol 错 → reject
        assert!(matches!(
            rc.check_full_skip_rate(
                "k",
                &lim,
                &mk_ctx("HK", "HK.09988", Some(100.0)),
                Utc::now()
            ),
            LimitOutcome::Reject(_)
        ));
        // side 错 → reject（lim 限定 SELL，给 BUY）
        let ctx_buy = CheckCtx {
            market: "HK".into(),
            symbol: "HK.00700".into(),
            order_value: Some(100.0),
            trd_side: Some("BUY".into()),
        };
        assert!(matches!(
            rc.check_full_skip_rate("k", &lim, &ctx_buy, Utc::now()),
            LimitOutcome::Reject(_)
        ));
        // 单笔超 → reject
        assert!(matches!(
            rc.check_full_skip_rate(
                "k",
                &lim,
                &mk_ctx("HK", "HK.00700", Some(20_000.0)),
                Utc::now()
            ),
            LimitOutcome::Reject(_)
        ));
        // 一切 OK → allow + 累加 daily（mk_limits 给的 daily cap 25_000）
        let ctx_ok = mk_ctx("HK", "HK.00700", Some(9_000.0));
        for _ in 0..2 {
            assert_eq!(
                rc.check_full_skip_rate("k", &lim, &ctx_ok, Utc::now()),
                LimitOutcome::Allow
            );
        }
        // 第 3 次 daily 累计超 25_000 → reject
        assert!(matches!(
            rc.check_full_skip_rate("k", &lim, &ctx_ok, Utc::now()),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn rate_limit_counts_mutations_with_empty_symbol() {
        // modify/cancel 用"空 symbol + None value"的 mutation ctx 也要被速率限制计数
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.max_orders_per_minute = Some(2);
        let mutation_ctx = CheckCtx {
            market: "HK".into(),
            symbol: "".into(),
            order_value: None,
            trd_side: None,
        };
        let t0 = Utc::now();
        assert_eq!(
            rc.check_and_commit("k", &lim, &mutation_ctx, t0),
            LimitOutcome::Allow
        );
        assert_eq!(
            rc.check_and_commit("k", &lim, &mutation_ctx, t0 + chrono::Duration::seconds(1)),
            LimitOutcome::Allow
        );
        // 第三次超速
        assert!(matches!(
            rc.check_and_commit("k", &lim, &mutation_ctx, t0 + chrono::Duration::seconds(2)),
            LimitOutcome::Reject(_)
        ));
    }

    #[test]
    fn rate_limit_sliding_60s() {
        let rc = RuntimeCounters::new();
        let mut lim = mk_limits();
        lim.max_orders_per_minute = Some(3);
        let ctx = mk_ctx("HK", "HK.00700", None); // None value → 不走日累计

        // 手动注入时间戳：60s 内 3 次 OK，第 4 次 reject
        let t0 = Utc::now();
        for i in 0..3 {
            assert_eq!(
                rc.check_and_commit("k", &lim, &ctx, t0 + chrono::Duration::seconds(i)),
                LimitOutcome::Allow
            );
        }
        assert!(matches!(
            rc.check_and_commit("k", &lim, &ctx, t0 + chrono::Duration::seconds(10)),
            LimitOutcome::Reject(_)
        ));
        // 推进到 70s 后，窗口滑动，前 3 次被清出，再次允许
        assert_eq!(
            rc.check_and_commit("k", &lim, &ctx, t0 + chrono::Duration::seconds(70)),
            LimitOutcome::Allow
        );
    }

    #[test]
    fn rate_limit_not_set_means_unlimited() {
        let rc = RuntimeCounters::new();
        let lim = mk_limits(); // max_orders_per_minute = None
        let ctx = mk_ctx("HK", "HK.00700", None);
        let t0 = Utc::now();
        for i in 0..100 {
            assert_eq!(
                rc.check_and_commit("k", &lim, &ctx, t0 + chrono::Duration::milliseconds(i)),
                LimitOutcome::Allow
            );
        }
    }

    #[test]
    fn window_same_day() {
        let t = |h, m| NaiveTime::from_hms_opt(h, m, 0).unwrap();
        assert!(in_window(t(10, 0), t(9, 0), t(16, 0)));
        assert!(!in_window(t(8, 0), t(9, 0), t(16, 0)));
        assert!(!in_window(t(16, 0), t(9, 0), t(16, 0)));
    }

    #[test]
    fn window_cross_midnight() {
        let t = |h, m| NaiveTime::from_hms_opt(h, m, 0).unwrap();
        assert!(in_window(t(23, 0), t(22, 0), t(4, 0)));
        assert!(in_window(t(2, 0), t(22, 0), t(4, 0)));
        assert!(!in_window(t(10, 0), t(22, 0), t(4, 0)));
    }
}