Game

游戏服务器传送门校验架构：位置、资格与目标实例的一致性

围绕地图传送门、活动入口、跨地图跳转和副本入口，说明服务器如何校验位置、资格、冷却、目标容量和传送计划，避免客户端伪造传送和半路失败。

Leeting Yan 2021-02-17 10 分钟阅读 4696 字

问题背景

传送门是游戏世界里最常见的入口，但它也是客户端伪造请求的高风险点。玩家可以尝试在远离入口的位置请求传送，未完成任务就进入后续地图，或者在目标实例已满时反复点击。传送看似只是切地图，实际上要同时校验位置、资格、目标容量和当前状态。

传送门架构应该由服务器维护入口定义和目标解析。客户端只提交想使用的 gate_id，服务器根据玩家当前位置、任务状态、队伍状态和目标容量生成传送计划。

下面的设计不是某个项目的完整蓝图，而是一组可以落地到架构评审和代码实现里的边界。游戏服务器的很多事故，并不是功能本身复杂到无法控制，而是第一版没有把权威状态、派生状态、配置版本和失败恢复分开。等到玩家量上来、活动频率变高、客服申诉变多，原来省掉的上下文都会变成排查成本。

架构总览

flowchart TD
  UseGate["使用传送门"] --> Locate["位置与场景校验"]
  Locate --> Rule["资格/任务/队伍校验"]
  Rule --> Resolve["目标实例解析"]
  Resolve --> Plan["传送计划"]
  Plan --> Leave["离开当前场景"]
  Leave --> Enter["进入目标场景"]
  Enter --> Confirm["确认与在线目录更新"]

这张图刻意只保留主链路。真实系统里还会接入风控、配置中心、数据仓库、客服后台和灰度发布。主链路的职责越清楚，这些旁路越容易接；如果主链路已经把规则和状态揉成一团，后面每接一个系统都会复制一段判断，最终很难保证一致。

1. 入口定义由服务器掌握

gate_id 对应入口位置、可用时间、目标类型、资格规则、交互半径、冷却规则。客户端可以展示传送门，但服务器不能相信客户端位置和目标。请求到达时，场景服务根据服务器维护的位置判断玩家是否在交互范围内。

落地时要把这一段写成明确的输入输出，而不是藏在调用方约定里。输入应该包含业务 ID、请求 ID、配置版本和操作者上下文；输出应该包含状态变化、拒绝原因和后续动作。只要这些信息进入协议和日志，客户端、运营、客服和研发就能围绕同一份事实沟通。

还要提前考虑灰度。影响玩家资产、战斗公平、社交关系或长期进度的逻辑，不适合全服一次性切换。先用影子计算记录新旧结果差异，再按服务器、玩家分层或玩法入口逐步放量，是成本最低的保险。

2. 资格校验

资格可能来自等级、任务阶段、活动时间、队伍人数、道具消耗、阵营控制、服务器状态。校验结果要返回明确错误码。对于需要消耗门票的传送，消耗应进入传送计划，而不是在客户端点击时先扣。传送失败时要能退回或不扣。

3. 目标实例解析

目标可能是固定地图、动态副本、跨服活动实例或队伍成员所在场景。解析目标时要检查容量和健康状态。动态副本可以创建新实例，活动入口可能要加入已有实例。目标解析结果写入 plan，后续不因配置热更新改变。

4. 传送计划状态

计划状态可分为 created、reserved、leaving、entering、completed、failed。reserved 表示目标已预留容量或实例。若离开当前场景后进入失败，系统要按计划回滚到安全点或重试目标。没有计划状态，失败时玩家就会掉进“黑洞”。

5. 队伍传送

队伍传送要冻结成员列表和资格。队长发起后，服务器生成 group_transfer_plan，记录成员、目标、确认状态。有人不符合资格时，要么全队失败，要么按玩法允许部分进入。规则必须明确，不能由客户端临时决定。

6. 冷却与反刷

传送门也可能被用于刷怪、逃跑或跨区域套利。服务器可以按 gate_id、区域、玩家状态设置冷却。PVP 受击后禁止传送，采集任务中传送会取消采集。冷却记录要写入审计，玩家投诉时能解释。

7. 客户端加载协同

服务器完成进入目标场景后，客户端可能还在加载资源。会话应处于 entering_scene 状态，限制其他操作。若客户端加载失败重连，登录服务根据传送计划和在线目录恢复到目标或安全点。

8. 监控和工具

传送失败率、目标容量拒绝率、进入超时、回滚次数是关键指标。客服工具应能按 player_id 查最近传送计划，看到失败阶段和原因。否则玩家说“我传送后卡没了”，研发很难定位。

数据模型建议

数据对象	建议字段	说明
命令记录	request_id、player_id、action、status、result_ref、created_at	让客户端重试和客服查询都有稳定入口。
主状态	owner_id、state、version、updated_at、policy_version	用版本号保护并发，用策略版本解释结果。
计划对象	plan_id、source、payload_hash、status、expire_at	适合跨服务流程，避免重试生成不同结果。
审计流水	before、after、reason、trace_id、operator	处理申诉、回滚和人工修复时需要。
派生快照	snapshot_id、source_version、generated_at、ttl	给展示和读取加速，但不能反向覆盖主状态。

字段不必照抄，但这些语义最好保留。尤其是 plan_id 和 policy_version，很多团队一开始觉得用不上，等到跨服、合服、活动回滚时才发现没有它们就很难解释历史结果。

并发与幂等

游戏服务器里的重复请求非常常见：移动网络重传、客户端超时重试、网关迁移、后台任务补偿、客服工具二次提交。只要一次命令可能改变玩家权益，就必须有业务幂等键。这个键最好来自业务单号或计划 ID，而不是单次 HTTP 连接，因为同一个玩家动作可能跨连接重试。

并发控制要围绕业务聚合根。玩家背包按 player_id，队伍按 team_id，家园按 owner_id，战斗房间按 battle_id，UGC 发布按 map_id + version。不要把锁粒度扩大到整个服务，也不要细到无法保护业务不变量。版本条件、短事务和命令队列都可以用，关键是让不变量有唯一守护点。

半成功必须有落点。跨服务流程不要边做边忘，应该先生成不可变计划，再推进计划状态。失败后，worker 或人工工具能看到当前卡在哪一步，并决定重试、补偿或终止。

可观测性

除了接口延迟，还要给业务状态建指标：

命令幂等命中率、版本冲突率、重复提交率。
计划对象 pending、processing、failed 的数量和停留时间。
按配置版本拆分的成功率、拒绝率和降级率。
派生快照与主状态不一致的抽样比例。
客服后台最常查询的拒绝原因和修复入口。

日志要串起 trace_id、request_id、plan_id 和业务对象 ID。不要只在异常时打日志，因为很多线上争议在程序看来是正常拒绝。正常拒绝也要有结构化原因，否则玩家、客服和研发都会把时间花在猜测上。

降级与恢复

降级策略要按价值分层。低价值展示可以短期使用缓存，资产写入必须明确成功或失败；可丢弃广播可以降采样，高价值结算要进入待处理队列；配置服务不可用时，可以使用本地已验证版本，但不能用未知版本继续扩大影响面。

恢复工具同样重要。一个系统如果只能自动运行，不能安全人工修复，那么迟早会在复杂事故里拖慢团队。修复工具应该读取审计和计划对象，通过同一套业务命令补偿，而不是直接改数据库字段。

架构评审清单

权威状态和展示快照是否分离？
每个改变状态的命令是否有业务幂等键？
配置热更新是否会改变已经开始的流程？
客户端断线或重试后能否查询原命令结果？
派生缓存失效失败时能否自我修复？
客服能否看到操作前后、规则版本和拒绝原因？
风控、合规或内容审核是否有误伤恢复路径？
监控能否提前发现积压和状态不一致？

小结

这类服务器系统传送门校验架构：位置、资格与目标实例的一致性的关键，不是把第一条正常路径写通，而是让每一次状态变化都可验证、可重试、可解释。玩家看到的是一次点击、一次切线、一次领取或一次拜访，服务器背后要处理的是身份、规则、版本、并发和恢复。

只要主状态收敛、计划对象稳定、审计足够完整，后续扩展就不会把系统拖进不可维护的泥潭。反过来，如果第一版为了快把状态散落在多个服务里，后面每一次活动和版本更新都会重复偿还这笔债。

继续阅读

探索更多技术文章

浏览归档，发现更多关于系统设计、工具链和工程实践的内容。

全部文章返回首页