/      

TCC 空回滚与悬挂处理:网络抖动导致 Try 未执行直接 Cancel?幂等控制防误操作!

做过分布式事务开发的同学肯定都遇到过这个问题:TCC 模式下的空回滚和悬挂问题。简单来说就是:Try 方法还没执行,Cancel 方法就来了;或者 Try 执行失败,但 Cancel 还是被调用了。这些异常场景处理不好,会导致数据不一致。

我之前就遇到过这样一个案例:用户下单时库存扣减服务超时,TC(事务协调器)认为 Try 失败,触发 Cancel 回滚。但由于网络抖动,库存服务实际已经扣减成功了,只是响应超时。结果 Cancel 方法又执行了一次"回滚",把已经扣减的库存又加回去了,导致库存数据错误。

今天我们就来聊聊 TCC 空回滚与悬挂的处理方案,让你的分布式事务更加健壮。

TCC 模式基础回顾

1. TCC 三阶段流程

TCC(Try-Confirm-Cancel)模式:

阶段一:Try(预留资源)
  - 锁定相关资源
  - 检查业务可行性
  - 如果不可行,直接失败,不进入后续阶段

阶段二:Confirm(确认执行)
  - 真正执行业务操作
  - 确认使用预留的资源
  - 失败会不断重试,直到成功

阶段三:Cancel(取消回滚)
  - 释放预留的资源
  - 回滚业务操作
  - 失败也会不断重试

正常流程:
Try → Confirm → 完成

异常流程:
Try → Cancel → 回滚完成

2. TCC 与 AT 模式的区别

AT 模式:
- 自动处理,无需人工干预
- 通过 undo_log 实现回滚
- 对业务代码无侵入
- 但性能较低(需要记录 undo_log)

TCC 模式:
- 手动编写 confirm 和 cancel 逻辑
- 资源锁定在 Try 阶段完成
- 对业务代码有一定侵入
- 但性能较高(无 undo_log)

空回滚问题

1. 什么是空回滚

空回滚场景:

请求到达 → Try 超时 → TC 认为 Try 失败 → 调用 Cancel
                              ↑
                          实际 Try 已经执行成功了
                          只是响应超时

结果:Cancel 执行了不应该执行的操作,导致数据不一致

示例:库存扣减
- Try:扣减库存 1 件(成功)
- 响应超时,TC 判定 Try 失败
- Cancel:加回库存 1 件(不应该执行!)
- 最终:库存多了 1 件

2. 空回滚的原因

空回滚产生的原因:

1. 网络抖动
   - Try 响应超时
   - TC 误判 Try 失败

2. 服务宕机
   - Try 执行到一半,服务重启
   - TC 收不到响应,判定失败

3. 协调器重启
   - TC 重启后,未完成的事务被重新处理
   - 但分支已经执行过了

3. 空回滚的解决方案

解决方案:幂等控制 + 状态记录

核心思想:
- 在执行操作前,先检查是否已经执行过
- 通过状态机或版本号控制

实现步骤:
1. 在 Try 阶段,设置"执行中"状态
2. 在 Confirm/Cancel 阶段,先检查状态
3. 如果状态是"已确认"或"已取消",直接返回成功
4. 如果状态是"执行中",继续执行

// 账户 TCC 接口
@LocalTCC
public interface AccountTccService {

    @TwoPhaseBusinessAction(
        name = "deductAction",
        commitMethod = "confirm",
        rollbackMethod = "cancel"
    )
    boolean tryDeduct(
        @BusinessActionContextParameter(paramName = "accountId") Long accountId,
        @BusinessActionContextParameter(paramName = "amount") BigDecimal amount
    );

    boolean confirm(BusinessActionContext context);
    
    boolean cancel(BusinessActionContext context);
}

// Try 阶段:记录状态
@Override
public boolean tryDeduct(Long accountId, BigDecimal amount) {
    // 检查状态是否为"已扣减"
    AccountStatus status = accountStatusRepository.findByAccountId(accountId);
    if (status != null && "CONFIRMED".equals(status.getStatus())) {
        // 已经执行过了,直接返回
        return true;
    }
    
    // 检查余额
    Account account = accountRepository.findByAccountId(accountId);
    if (account.getBalance().compareTo(amount) < 0) {
        throw new RuntimeException("余额不足");
    }
    
    // 记录状态为"预留中"
    saveStatus(accountId, "RESERVED", amount);
    
    return true;
}

// Cancel 阶段:检查状态
@Override
public boolean cancel(BusinessActionContext context) {
    Long accountId = (Long) context.getActionContext("accountId");
    BigDecimal amount = (BigDecimal) context.getActionContext("amount");
    
    AccountStatus status = accountStatusRepository.findByAccountId(accountId);
    
    // 空回滚防护:检查状态
    if (status == null) {
        // 没有预留记录,说明 Try 未执行,直接返回成功
        log.info("空回滚防护:accountId={} 无预留记录,跳过", accountId);
        return true;
    }
    
    if ("CONFIRMED".equals(status.getStatus())) {
        // 已经确认了,不需要取消
        log.info("空回滚防护:accountId={} 已确认,跳过", accountId);
        return true;
    }
    
    if ("CANCELLED".equals(status.getStatus())) {
        // 已经取消了
        log.info("空回滚防护:accountId={} 已取消,跳过", accountId);
        return true;
    }
    
    // 执行回滚
    Account account = accountRepository.findByAccountId(accountId);
    account.setBalance(account.getBalance().add(amount));
    accountRepository.save(account);
    
    // 更新状态
    saveStatus(accountId, "CANCELLED", BigDecimal.ZERO);
    
    return true;
}

悬挂问题

1. 什么是悬挂

悬挂场景:

请求到达 → Try 超时 → TC 认为 Try 失败 → 调用 Cancel
                                          ↓
                        网络恢复,Try 响应到达
                        Try 实际执行成功

结果:Try 和 Cancel 都执行了,但顺序错误
- Try 预留了资源
- Cancel 释放了资源
- 但 Try 是后执行的,所以资源被错误释放

示例:库存扣减
- Try 超时(开始执行)
- Cancel 执行(释放了之前的预留)
- Try 完成(又扣减了库存)
- 最终:库存少了 1 件

2. 悬挂的原因

悬挂产生的原因:

1. 异步响应延迟
   - Try 超时,触发 Cancel
   - Cancel 执行后,Try 响应才到达

2. 重试机制
   - Try 被重复调用
   - Cancel 也被重复调用
   - 执行顺序混乱

3. 悬挂的解决方案

解决方案:超时检测 + 状态机

核心思想:
- 设置合理的超时时间
- 在 Cancel 执行前,检查是否已经过了预留时间窗口
- 如果超时就跳过 Cancel

实现步骤:
1. 在 Try 阶段,记录预留开始时间
2. 设置预留超时时间(比如 30 秒)
3. 在 Cancel 阶段,检查当前时间与预留开始时间的差值
4. 如果超过超时时间,说明 Try 已经执行完成,跳过 Cancel

// 取消阶段:超时检测
@Override
public boolean cancel(BusinessActionContext context) {
    Long accountId = (Long) context.getActionContext("accountId");
    BigDecimal amount = (BigDecimal) context.getActionContext("amount");
    long actionBeginTime = context.getActionContext("actionBeginTime");
    
    // 悬挂防护:检查超时
    long currentTime = System.currentTimeMillis();
    long elapsedTime = currentTime - actionBeginTime;
    long timeout = 30000; // 30 秒超时
    
    if (elapsedTime > timeout) {
        // 超过超时时间,说明 Try 已经执行完成,跳过 Cancel
        log.info("悬挂防护:accountId={} 已超时{}ms,跳过Cancel", accountId, elapsedTime);
        return true;
    }
    
    AccountStatus status = accountStatusRepository.findByAccountId(accountId);
    
    // 空回滚防护
    if (status == null || "CONFIRMED".equals(status.getStatus())) {
        return true;
    }
    
    // 执行回滚
    Account account = accountRepository.findByAccountId(accountId);
    account.setBalance(account.getBalance().add(amount));
    accountRepository.save(account);
    
    saveStatus(accountId, "CANCELLED", BigDecimal.ZERO);
    
    return true;
}

完整解决方案架构

1. 核心设计思想

整体架构:

┌─────────────────────────────────────────────────────────────────┐
│                     TCC 空回滚与悬挂防护架构                      │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│  ┌──────────┐    ┌────────────────┐    ┌────────────────┐  │
│  │  Try     │───→│  状态记录       │───→│  预留资源       │  │
│  │  阶段    │    │  (RESERVED)     │    │                │  │
│  └──────────┘    └────────────────┘    └────────────────┘  │
│                                                              │
│  ┌──────────┐    ┌────────────────┐    ┌────────────────┐  │
│  │ Confirm  │───→│  状态检查       │───→│  确认使用资源   │  │
│  │  阶段    │    │  (幂等控制)     │    │                │  │
│  └──────────┘    └────────────────┘    └────────────────┘  │
│                                                              │
│  ┌──────────┐    ┌────────────────┐    ┌────────────────┐  │
│  │ Cancel   │───→│  状态+超时检查 │───→│  释放资源       │  │
│  │  阶段    │    │  (空回滚+悬挂) │    │                │  │
│  └──────────┘    └────────────────┘    └────────────────┘  │
│                                                              │
└─────────────────────────────────────────────────────────────────────────────────┘

2. 状态机设计

账户状态机:

        ┌─────────────────────────────────────────┐
        │                                         │
        ▼                                         │
   ┌─────────┐      try       ┌───────────┐      │
   │  INIT   │──────────────→│  RESERVED │      │
   └─────────┘                └───────────┘      │
        ▲                           │             │
        │                           │             │
        │ cancel                    │ confirm      │
        │                           │             │
        │                           ▼             │
        │                    ┌───────────┐        │
        └────────────────────│ CONFIRMED │        │
                             └───────────┘        │
                                                     │
        ┌─────────────────────────────────────────┘
        │
        │ cancel (from RESERVED)
        │
        ▼
   ┌───────────┐
   │ CANCELLED │
   └───────────┘

状态转换规则:

1. INIT → RESERVED:Try 执行成功
2. RESERVED → CONFIRMED:Confirm 执行成功
3. RESERVED → CANCELLED:Cancel 执行成功
4. INIT → CANCELLED:空回滚(Try 未执行)

3. 幂等控制实现

// 幂等控制注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Tcc idempotent {
    String actionName();
}

// 幂等拦截器
class TccIdempotentInterceptor implements MethodInterceptor {

    @Override
    public Object invoke(MethodInvocation invocation) throws Throwable {
        TccIdempotent annotation = invocation.getMethod()
                .getAnnotation(TccIdempotent.class);

        String actionName = annotation.actionName();
        BusinessActionContext context = getActionContext();

        // 检查是否已经执行过
        if (hasExecuted(actionName, context)) {
            log.info("幂等防护:action={} 已执行,跳过", actionName);
            return true;
        }

        // 标记为已执行
        markExecuted(actionName, context);

        return invocation.proceed();
    }
}

最佳实践

1. 合理设置超时时间

超时时间配置原则:

1. Try 超时时间
   - 建议:5-10 秒
   - 太短:正常业务可能被误判
   - 太长:悬挂问题影响时间更长

2. Cancel 超时时间
   - 建议:10-30 秒
   - 需要保证 Cancel 有足够时间执行

3. 全局事务超时
   - 建议:60-120 秒
   - 包括所有分支事务的执行时间

2. 日志与监控

需要记录的日志:

1. Try 阶段:
   - actionName, accountId, amount
   - 执行结果
   - 开始时间、结束时间

2. Confirm/Cancel 阶段:
   - actionName, accountId, amount
   - 是否空回滚
   - 是否悬挂
   - 执行结果

监控指标:
- 空回滚次数
- 悬挂次数
- Try/Confirm/Cancel 执行时间
- 成功率

3. 异常处理

异常处理策略:

1. Try 失败
   - 直接抛出异常
   - TC 不会调用 Confirm/Cancel

2. Confirm 失败
   - 重试,直到成功
   - 设置最大重试次数

3. Cancel 失败
   - 重试,直到成功
   - 重试间隔递增

总结

TCC 空回滚与悬挂处理的核心原则:

  1. 幂等控制:通过状态机确保每个操作只执行一次
  2. 空回滚防护:在 Cancel 执行前,检查预留记录是否存在
  3. 悬挂防护:在 Cancel 执行前,检查是否已经超时
  4. 合理超时:设置合适的超时时间,避免异常场景
  5. 日志监控:记录每个阶段的执行情况,便于排查问题

记住:TCC 模式的核心是幂等和状态管理。只有做好这两个方面,才能保证分布式事务的最终一致性。

源码获取

文章已同步至小程序博客栏目,需要源码的请关注小程序博客。

公众号:服务端技术精选

小程序码:

标题:TCC 空回滚与悬挂处理:网络抖动导致 Try 未执行直接 Cancel?幂等控制防误操作!
作者:jiangyi
地址:http://jiangyi.space/articles/2026/05/29/1779976849196.html
公众号:服务端技术精选
    评论
    0 评论
avatar
文章
493
标签
20
分类
6
管理登录
主页
时间轴
标签
分类
友情链接
Web开发实战
SpringCloud Alibaba专栏
源码分享
开发杂说
取消