背景:架构问题通常藏在正常路径之外
好友系统看起来简单:A 申请,B 同意,两人成为好友。真实线上环境却有很多交叉动作:A 发申请后撤回,B 同时同意;B 拉黑 A 的瞬间,A 又发起组队邀请;两个人互相同时申请;客户端重试导致重复申请;跨区服玩家关系还要同步到多个读模型。好友邀请一致性架构要解决的是社交关系的单一事实来源和明确状态机。
如果申请表、好友表、黑名单表由多个服务随意写,就会出现矛盾状态。A 的列表里有 B,B 的列表里没有 A;申请已过期但通知还在;黑名单存在却还能收到邀请。社交系统的错误虽然不一定造成资产损失,但会直接影响玩家信任和骚扰治理。
好友邀请应围绕 relationship aggregate 建模。同一对玩家的关系由一个聚合状态表示,包括 none、pending、friends、blocked、removed 等状态。所有申请、同意、拒绝、撤回、拉黑都通过状态机转移,并产出关系变更事件更新双方读模型。
架构视图
stateDiagram-v2
[*] --> None
None --> Pending: A申请B
Pending --> Friends: B同意
Pending --> None: 拒绝/撤回/过期
Friends --> Removed: 删除好友
None --> Blocked: 拉黑
Pending --> Blocked: 拉黑优先
Friends --> Blocked: 拉黑并解除关系
Blocked --> None: 解除拉黑
这张图只展示主干流程,实际落地时还要补上权限、审计、监控、配置版本和异常补偿。画架构图的意义不是让系统显得复杂,而是让团队在写代码前确认几个问题:状态在哪里被创建,在哪里被修改,失败后谁负责收尾,玩家能看到什么结果,客服和研发能不能在事后还原过程。
设计要点 1
关系键要稳定。可以用 min(playerA, playerB)+max(playerA, playerB) 作为 pairKey,保证同一对玩家的状态只有一份。方向性信息,例如谁申请谁、谁拉黑谁,放在状态字段里。这样互相同时申请不会创建两条互相冲突的记录。
设计要点 2
黑名单优先级最高。只要一方拉黑,新的好友申请、组队邀请、私聊通知都应被拒绝或静默丢弃。解除拉黑后是否恢复好友关系,要由产品规则明确,通常不自动恢复,而是回到 none。
设计要点 3
并发同意和撤回需要版本控制。申请记录带 version,B 同意时要求状态仍是 pending 且 version 匹配;A 撤回也一样。谁先提交谁成功,失败方拿到明确原因。不要让两个操作都成功,然后后台再猜。
设计要点 4
读模型可以最终一致,但写模型必须唯一。双方好友列表、红点、最近联系人都可以订阅关系事件更新。如果读模型漏事件,可以通过关系聚合重建。调用方不要直接写好友列表,否则唯一写模型会被绕过。
设计要点 5
通知要跟状态校验绑定。客户端点击“同意申请”时,服务端不能只相信通知 ID,而要重新读取关系状态。过期申请、已撤回申请、已拉黑关系都应返回可解释结果。通知只是入口,不是事实。
数据模型与状态边界
这类模块不要只围绕一张数据库表设计。更稳妥的方式是先定义领域对象、命令、事件和读模型。领域对象负责维护权威状态,命令表达一次业务意图,事件记录已经发生的事实,读模型服务客户端展示和运营查询。这样做会比直接增删改查多一些代码,但当系统进入长线运营后,状态边界会清楚得多。
每一次关键状态变化都应该带上版本号和来源。版本号用于并发控制和缓存失效,来源用于审计和问题定位。比如一次来自活动配置的变更、一次来自玩家操作的变更、一次来自补偿脚本的变更,处理策略可能完全不同。没有来源字段,线上排查时只能翻调用链猜测。
状态边界还决定了能否拆服务。如果一个模块必须同时读写十几个系统的内部表,它后面很难独立扩容,也很难做灰度。相反,如果它只暴露命令接口和事件输出,其他系统通过读模型或订阅事件协作,拆分和回滚都会简单很多。
失败路径与补偿策略
游戏服务器必须把失败当成常态。玩家会断线,客户端会重试,网关会重连,数据库会超时,配置会临时回滚,外部平台会延迟回调。架构设计如果只覆盖成功路径,测试环境里看不出问题,线上高峰时会集中爆发。
建议为每个核心动作定义四类结果:成功、业务拒绝、可重试失败、不可自动处理失败。成功进入正常事件流;业务拒绝返回明确原因,例如条件不满足或状态已变化;可重试失败进入带幂等键的重试队列;不可自动处理失败进入死信或人工工单。不要把所有异常都包装成系统繁忙,否则调用方无法采取正确动作。
补偿策略要和幂等设计绑在一起。补发奖励、恢复状态、重放事件、重新生成读模型,都必须能识别之前是否已经执行过。没有幂等键的补偿脚本,是很多二次事故的来源。
性能与容量估算
性能设计要从业务峰值倒推,而不是上线后再看机器报警。先估算单玩家、单房间或单账号在高峰场景下的请求频率,再乘以同时在线和活动放大系数。很多系统平时负载很低,一到赛季结算、限时活动、主播开黑或版本更新,就会出现数倍甚至数十倍尖峰。
容量估算时要分清 CPU、内存、网络、存储和外部依赖。一个模块可能 CPU 很轻,但写放大严重;也可能数据库压力不大,但网关推送带宽很高。只看 QPS 容易误判。建议在压测脚本里模拟真实操作序列,而不是只压单个接口。
为了防止局部热点,需要准备限流、批处理、合并、异步化和降级。降级不是失败,而是提前定义较低质量但可接受的服务形态。例如延迟刷新、摘要展示、只读模式、排队等待、转邮件托底。
观测与排障
观测指标至少分三层。第一层是玩家结果,例如成功率、拒绝率、延迟分位、可见错误、投诉量。第二层是系统状态,例如队列积压、缓存命中、回源耗时、事件延迟、重试次数。第三层是证据链,例如请求 ID、玩家 ID、配置版本、策略版本、状态版本、裁决原因。
排障面板要支持按区服、玩法、客户端版本、配置版本和时间窗口切分。游戏事故很少平均发生,通常集中在某个活动、某个灰度桶、某个地图或某个玩家群体。没有这些维度,平均值会把问题掩盖。
日志不要只记录错误。对资产、结算、处罚、关系、进度这类高价值变更,成功日志同样重要。玩家争议发生时,研发需要证明系统当时做了什么,而不是只知道没有报错。
上线与回滚建议
上线时尽量先走影子模式或小流量灰度。影子模式可以让新逻辑计算结果但不影响玩家,用来观察和旧逻辑的差异;小流量灰度可以验证真实玩家行为和边界场景。直接全量切换只适合低风险展示功能,不适合影响状态和资产的核心模块。
回滚路径要提前演练。代码回滚、配置回滚、开关熔断、读模型重建、事件重放、人工补偿分别解决不同问题。一次事故中常常需要组合使用。没有演练的回滚,在真正事故时会变成新的风险。
上线后至少观察一个完整业务周期。如果是日常任务,要跨过一次日重置;如果是排行榜,要跨过一次结算;如果是副本,要覆盖断线恢复和奖励领取。只看发布后十分钟没有报错,不能说明系统可靠。
常见误区
第一,把客户端表现当成服务端事实。客户端可以预测、缓存和合并,但服务端必须有自己的权威状态和裁决理由。
第二,把平均延迟当成体验指标。游戏玩家感知的是尾部延迟、连续失败和关键动作是否被正确处理。
第三,把配置灵活性当成安全性。配置越灵活,越需要校验、灰度、版本和回滚。
第四,把重试当成补偿。没有幂等和状态检查的重试,只是在放大错误。
第五,把后台工具当成内部小功能。运营、客服、研发都会在压力下使用这些工具,权限、审计和结果反馈必须按生产系统标准设计。
工程落地细节
好友关系的写模型可以放在关系服务里,但读模型需要分发到聊天、组队、推荐、个人主页等多个系统。关系事件必须包含变更前状态和变更后状态,否则下游很难处理删除好友、拉黑、解除拉黑这些负向变化。只发送“新增好友”事件会让删除链路缺证据。
申请过期最好由后台定时任务驱动,但过期判断不能只依赖任务。用户点击一条旧申请时,服务端仍然要实时检查 expireAt。定时任务负责清理和发事件,接口检查负责保证正确性。两者缺一不可。
隐私设置也要进入状态机。比如玩家设置不接受陌生人申请、只接受同公会申请、只允许搜索 ID 添加,这些规则都应在创建 pending 前校验,并把拒绝原因写入轻量审计。否则大量失败申请会变成不可解释的“发送失败”。
线上案例化复盘
社交系统里最难处理的往往不是添加好友,而是负向关系。有玩家拉黑对方后,仍然收到旧申请通知,点击同意后接口报错。技术上状态是正确的,但体验像系统坏了。后来通知服务在展示前增加关系状态校验,旧申请如果已经被拉黑状态覆盖,就自动撤销红点并显示“该申请已失效”。同时关系事件里加入 previousState,聊天和组队服务能及时清理旧入口。负向状态传播到位后,骚扰投诉也少了很多。
交付检查清单
好友邀请系统要重点测试交叉操作:A 申请同时 B 拉黑,A 撤回同时 B 同意,双方同时互发申请,申请过期后客户端继续点击,同一请求重复提交。每个结果都应落到明确状态,而不是靠接口返回文本解释。读模型也要做恢复测试:删除双方好友列表缓存后,能否从关系聚合重新生成一致的列表和红点。社交关系虽然不涉及战斗数值,但一致性问题会直接影响玩家信任。
接口契约补充
接口契约要把调用方能依赖的内容写清楚:请求字段哪些必填,幂等键如何生成,成功后状态何时可见,失败是否允许重试,客户端应该展示什么文案键。很多线上误会不是服务端没有处理,而是调用方不知道这个接口到底承诺什么。把契约写进文档和自动化用例,比口头约定可靠。
小结
好友邀请一致性架构的价值,不在于把所有情况都抽象成一个万能平台,而在于把高频路径、失败路径和争议路径都设计清楚。玩家看到的是一次点击、一次移动、一次领取或一次切换,服务端背后需要处理顺序、状态、版本、并发、补偿和证据。
如果团队资源有限,建议先做三件事:明确权威状态,补齐幂等和版本,建立能回答争议的日志。做到这三点,即使系统还不够优雅,也具备持续演进的基础。后续再加入灰度、自动化修复、容量模型和可视化工具,架构会自然长成,而不是被事故一次次推倒重来。
继续阅读
探索更多技术文章
浏览归档,发现更多关于系统设计、工具链和工程实践的内容。