Game

游戏服务器 UGC 地图审核发布架构：玩家创作内容如何安全进入线上世界

针对玩家自制地图、关卡和房间模板，讲解服务器如何设计 UGC 上传、静态校验、人工审核、版本发布、运行隔离和下架回滚流程。

Leeting Yan 2021-02-20 10 分钟阅读 4746 字

问题背景

UGC 能显著延长游戏生命，但它也会把内容安全、性能风险和玩法漏洞带进服务器。玩家上传的地图可能包含违规文本、卡死路径、超量怪物、奖励刷取漏洞，甚至利用脚本触发异常。UGC 地图不能直接从编辑器发布到线上，必须经过服务器侧的审核与发布流水线。

UGC 地图架构要把草稿、审核版本、发布版本和运行实例分开。编辑器保存草稿，审核服务生成可验证包，发布服务分发稳定版本，运行服务在沙箱规则下加载。

下面的设计不是某个项目的完整蓝图，而是一组可以落地到架构评审和代码实现里的边界。游戏服务器的很多事故，并不是功能本身复杂到无法控制，而是第一版没有把权威状态、派生状态、配置版本和失败恢复分开。等到玩家量上来、活动频率变高、客服申诉变多，原来省掉的上下文都会变成排查成本。

架构总览

flowchart LR
  Editor["编辑器草稿"] --> Upload["上传服务"]
  Upload --> StaticCheck["静态校验"]
  StaticCheck --> Review["自动/人工审核"]
  Review --> Publish["版本发布"]
  Publish --> Runtime["运行实例加载"]
  Runtime --> Metrics["运行监控"]
  Publish --> Takedown["下架/回滚"]

这张图刻意只保留主链路。真实系统里还会接入风控、配置中心、数据仓库、客服后台和灰度发布。主链路的职责越清楚，这些旁路越容易接；如果主链路已经把规则和状态揉成一团，后面每接一个系统都会复制一段判断，最终很难保证一致。

1. 草稿和发布版本分离

玩家编辑器里的草稿可以频繁保存，但它不等于线上内容。草稿版本用于玩家自己预览，发布版本必须通过校验和审核。发布版本一旦生成，应有 immutable_version_id，后续修改产生新版本。这样线上房间不会因为作者继续编辑而突然变化。

落地时要把这一段写成明确的输入输出，而不是藏在调用方约定里。输入应该包含业务 ID、请求 ID、配置版本和操作者上下文；输出应该包含状态变化、拒绝原因和后续动作。只要这些信息进入协议和日志，客户端、运营、客服和研发就能围绕同一份事实沟通。

还要提前考虑灰度。影响玩家资产、战斗公平、社交关系或长期进度的逻辑，不适合全服一次性切换。先用影子计算记录新旧结果差异，再按服务器、玩家分层或玩法入口逐步放量，是成本最低的保险。

2. 静态校验

上传后先做静态校验：文件格式、资源引用、地图尺寸、怪物数量、触发器数量、脚本指令白名单、文本敏感词、奖励配置引用。静态校验失败直接返回可理解错误。不要把明显错误交给人工审核，审核人员会被噪音淹没。

3. 审核流程

自动审核可以处理大部分文本和结构风险，人工审核处理边界内容和推荐位内容。审核记录包含版本 ID、规则版本、审核人、结论、拒绝原因。通过审核后，发布服务才允许该版本进入线上列表。作者修改后必须重新审核。

4. 运行隔离

UGC 地图运行时不能拥有和官方副本同等权限。它只能使用白名单怪物、白名单奖励、受控触发器和有限脚本预算。运行实例要有 ugc_map_id、version_id、author_id、runtime_policy。任何奖励产出都要经过 UGC 奖励策略限制，避免刷资源。

5. 性能预算

地图里对象太多、触发器太密、寻路复杂度太高都会影响服务器。静态校验估算成本，运行时继续监控 tick 耗时、对象数量、事件触发频率。超预算地图可以暂停推荐、限制开房或下架。作者需要看到具体超限项，才能修改。

6. 发布与回滚

发布不是覆盖列表里的一个字段。发布服务要维护 active_version 和 previous_version。发现问题时，可以下架当前版本或回滚到上一审核通过版本。已经运行中的房间按策略结束后不再创建新实例，或立即关闭高风险实例。

7. 举报与下架

玩家举报 UGC 内容时，系统要能定位到具体版本，而不是只定位作者当前草稿。举报记录关联 map_id、version_id、room_id、截图或日志。下架某版本后，不影响作者继续编辑新版本，但高风险作者可以进入发布冷却。

8. 数据反馈

UGC 平台要记录游玩次数、完成率、退出率、举报率、服务器耗时、奖励产出。推荐算法只看游玩次数会推高刷奖励地图。架构上要把内容质量、安全和性能指标一起纳入发布后的健康分。

数据模型建议

数据对象	建议字段	说明
命令记录	request_id、player_id、action、status、result_ref、created_at	让客户端重试和客服查询都有稳定入口。
主状态	owner_id、state、version、updated_at、policy_version	用版本号保护并发，用策略版本解释结果。
计划对象	plan_id、source、payload_hash、status、expire_at	适合跨服务流程，避免重试生成不同结果。
审计流水	before、after、reason、trace_id、operator	处理申诉、回滚和人工修复时需要。
派生快照	snapshot_id、source_version、generated_at、ttl	给展示和读取加速，但不能反向覆盖主状态。

字段不必照抄，但这些语义最好保留。尤其是 plan_id 和 policy_version，很多团队一开始觉得用不上，等到跨服、合服、活动回滚时才发现没有它们就很难解释历史结果。

并发与幂等

游戏服务器里的重复请求非常常见：移动网络重传、客户端超时重试、网关迁移、后台任务补偿、客服工具二次提交。只要一次命令可能改变玩家权益，就必须有业务幂等键。这个键最好来自业务单号或计划 ID，而不是单次 HTTP 连接，因为同一个玩家动作可能跨连接重试。

并发控制要围绕业务聚合根。玩家背包按 player_id，队伍按 team_id，家园按 owner_id，战斗房间按 battle_id，UGC 发布按 map_id + version。不要把锁粒度扩大到整个服务，也不要细到无法保护业务不变量。版本条件、短事务和命令队列都可以用，关键是让不变量有唯一守护点。

半成功必须有落点。跨服务流程不要边做边忘，应该先生成不可变计划，再推进计划状态。失败后，worker 或人工工具能看到当前卡在哪一步，并决定重试、补偿或终止。

可观测性

除了接口延迟，还要给业务状态建指标：

命令幂等命中率、版本冲突率、重复提交率。
计划对象 pending、processing、failed 的数量和停留时间。
按配置版本拆分的成功率、拒绝率和降级率。
派生快照与主状态不一致的抽样比例。
客服后台最常查询的拒绝原因和修复入口。

日志要串起 trace_id、request_id、plan_id 和业务对象 ID。不要只在异常时打日志，因为很多线上争议在程序看来是正常拒绝。正常拒绝也要有结构化原因，否则玩家、客服和研发都会把时间花在猜测上。

降级与恢复

降级策略要按价值分层。低价值展示可以短期使用缓存，资产写入必须明确成功或失败；可丢弃广播可以降采样，高价值结算要进入待处理队列；配置服务不可用时，可以使用本地已验证版本，但不能用未知版本继续扩大影响面。

恢复工具同样重要。一个系统如果只能自动运行，不能安全人工修复，那么迟早会在复杂事故里拖慢团队。修复工具应该读取审计和计划对象，通过同一套业务命令补偿，而不是直接改数据库字段。

架构评审清单

权威状态和展示快照是否分离？
每个改变状态的命令是否有业务幂等键？
配置热更新是否会改变已经开始的流程？
客户端断线或重试后能否查询原命令结果？
派生缓存失效失败时能否自我修复？
客服能否看到操作前后、规则版本和拒绝原因？
风控、合规或内容审核是否有误伤恢复路径？
监控能否提前发现积压和状态不一致？

小结

这类服务器系统 UGC 地图审核发布架构：玩家创作内容如何安全进入线上世界的关键，不是把第一条正常路径写通，而是让每一次状态变化都可验证、可重试、可解释。玩家看到的是一次点击、一次切线、一次领取或一次拜访，服务器背后要处理的是身份、规则、版本、并发和恢复。

只要主状态收敛、计划对象稳定、审计足够完整，后续扩展就不会把系统拖进不可维护的泥潭。反过来，如果第一版为了快把状态散落在多个服务里，后面每一次活动和版本更新都会重复偿还这笔债。

继续阅读

探索更多技术文章

浏览归档，发现更多关于系统设计、工具链和工程实践的内容。

全部文章返回首页