本章首先了解一下業(yè)務(wù)流程，說明一下實現(xiàn)補單需要的前提基礎(chǔ)，然后介紹一下補單機制的演進路線，每個版本存在的問題以及在下一個版本是如何解決的。

我們首先以用戶發(fā)起一筆余額提現(xiàn)為例，說明下業(yè)務(wù)流程，簡化后如圖 2 所示。

圖 2. 余額提現(xiàn)流程

首先生成支付訂單，然后請求賬務(wù)系統(tǒng)，扣減用戶賬戶下的余額，接著向外部渠道發(fā)起付款操作，資金操作完成后統(tǒng)一處理結(jié)果并更新單據(jù)信息，最后還有一些對上下游的異步通知，形式上包括消息和 RPC 回調(diào)。

我們將每個關(guān)鍵資金操作的狀態(tài)記錄落庫，如下表所示。其中出款即錢從哪里來，入款即錢到哪里去，沖正即回滾交易。在提現(xiàn)場景下就是從用戶支付賬戶出錢，到用戶的銀行卡去。其他場景比如充值（銀行卡->用戶支付賬戶），會有不同的資金流向。表中最后兩行加粗的場景還沒有達到終態(tài)，是我們需要去補償?shù)摹?/p>

為了便于理解，我們在這里省略了沖正的相關(guān)操作，一次余額提現(xiàn)流程的狀態(tài)機轉(zhuǎn)換如圖 3 所示。

圖 3.附帶狀態(tài)機轉(zhuǎn)換的余額提現(xiàn)流程

發(fā)起一次支付會涉及到多個系統(tǒng)間調(diào)用，由于網(wǎng)絡(luò)原因?qū)е碌耐ㄐ懦瑫r是常見的問題。同時上游系統(tǒng)也可能會重新發(fā)起請求，這需要我們的系統(tǒng)保證操作結(jié)果的冪等性。少數(shù)用戶也可能會有多個終端同時操作帶來的并發(fā)請求，需要我們保證接口的可重入性。除了服務(wù)自身，我們的下游依賴同樣也需要保證其接口具有同樣的能力。

先說一說什么是可重入與冪等性。

具體到業(yè)務(wù)中，冪等性是針對一筆已經(jīng)到達終態(tài)的支付而言的，對于初次未能拿到最終業(yè)務(wù)結(jié)果的請求，再次發(fā)起調(diào)用的結(jié)果可以是不同的（處理中->處理成功或失?。?。那么我們?nèi)绾伪ＷC業(yè)務(wù)流程的可重入與冪等性呢？我們分別拆解每一步來看：

有了可重入與冪等性保證，我們就可以大量地復(fù)用正向流程來實現(xiàn)補單接口。

一般來說最常見的補單形式是設(shè)置一個定時任務(wù)，定時去掃表完成業(yè)務(wù)補償，實現(xiàn)比較簡單，但是及時性不夠，對于收款轉(zhuǎn)賬類的交易而言用戶體驗不佳。我們采用了通過消息隊列進行即時補償?shù)姆绞?，如圖 4 所示。補償消費者并沒有去做補償工作，而是解析消息然后通過 RPC 調(diào)用支付核心暴露的補償接口。為什么不在消費者中直接補償？這么做主要是考慮將邏輯收斂到一處便于維護。

圖 4. 余額提現(xiàn)發(fā)生異常時的補單流程

當然，補單可能依然失敗，我們可以再次發(fā)送補償消息。但不能一直這樣循環(huán)下去，所以需要設(shè)置一個最大重試次數(shù)，超出后不再發(fā)送。當補償多次都不成功時，一般是下游系統(tǒng)出了問題，這時我們需要放緩補償?shù)念l次，隨著重試次數(shù)增加，會讓每次補償時間間隔逐漸增大，通過 RocketMQ 的延時消息實現(xiàn)。

這里有三個很容易想到的問題：

圖 5. 補償消息發(fā)送失敗

圖 6. 補償消息消費失敗

針對問題 1，如果重試依然發(fā)送失敗，我們通過引入一張異常消息表，將發(fā)送失敗的消息落庫來解決。表中記錄了訂單號、當前的重試次數(shù)、異常分類、記錄狀態(tài)、消息體等字段。如果圖 6 中的第 4 步消息發(fā)送失敗，就將這筆訂單放入 DB 中的一張異常表中，會設(shè)置一個定時任務(wù)去處理。以目前 RocketMQ 的可用性來說，異常數(shù)據(jù)很少會出現(xiàn)。如圖 7 所示。

圖 7. 針對消息生產(chǎn)/消費異常的改進版 - 1

對于第 2 個問題，如果補償消費者調(diào)用支付核心失敗，補償消費者 HandleMessage 會向上層拋出 error，利用 RocketMQ 的梯度重試機制，當消費重試次數(shù)達到一定上限后會進入死信隊列。如圖 8 所示，這種情況一般是服務(wù)或網(wǎng)絡(luò)出了問題，待恢復(fù)之后，可以從死信隊列拉取這些消息再統(tǒng)一處理。

圖 8. 針對消息生產(chǎn)/消費異常的改進版 - 2

當然還有更極端的情況，請求 MQ 和 DB 都失敗了咋辦？以目前 MQ 和 DB 的可用性來說，同時失敗這種基本可以不用考慮，報警人工介入即可。

針對問題 3，如果重試超過最大次數(shù)，依然補償不成功，一般是下游依賴出了問題。這種情況我們也將它放進異常表中。

對于這兩類漏網(wǎng)之魚，需要支持單條/批量支付單補償?shù)倪\營能力以供人工介入；最好有一個在業(yè)務(wù)低峰期運行的兜底任務(wù)，掃描業(yè)務(wù)單據(jù)表，將一段時間內(nèi)還未完成的訂單進行補償。

另外，兜底任務(wù)可能造成消息的短暫堆積，影響線上的實時補償流程推進，對此可以使用獨立的隊列隔離開來。

其實如果只是異步通知類的操作出現(xiàn)了異常，并沒有必要每次都重新走一遍完整業(yè)務(wù)流程，缺啥補啥即可。因此我們將異常劃分為多種類型，將一些異步操作和業(yè)務(wù)處理劃分開來，進行精細化的處理：

圖 9 以這幾種異常為例，說明了每種補償類型的消息參數(shù)。

圖 9. 分類補償

我們最終的補單體系見圖 10，它既通過即時消息保證了補償?shù)募皶r性，是主動出擊之茅；也利用延時消息重試、落地失敗消息的異常表與兜底任務(wù)保證了補償?shù)挠行裕侨f無一失之盾。不僅可用于支付單據(jù)的補償，通過保證流程的可重入性，也可作為一種通用解決方案，但不適用于無狀態(tài)、不可重入的業(yè)務(wù)形態(tài)。

圖 10. 異常補償體系

本文首先介紹了什么是補單，接著基于三方支付系統(tǒng)的實現(xiàn)完整闡述了補單機制的演進過程，最終演化為一種相對通用的異常處理模式，即基于消息隊列、有限狀態(tài)機與多重任務(wù)兜底的業(yè)務(wù)層最終一致性保障機制，供大家參考指正。

UME - 豐富的Flutter調(diào)試工具

一例 Go 編譯器代碼優(yōu)化 bug 定位和修復(fù)解析

字節(jié)跳動破局聯(lián)邦學(xué)習(xí)：開源Fedlearner框架，廣告投放增效209%

抖音品質(zhì)建設(shè) - iOS啟動優(yōu)化《原理篇》

歡迎關(guān)注「 字節(jié)跳動技術(shù)團隊 」

簡歷投遞聯(lián)系郵箱「 tech@bytedance.com 」

以上就是關(guān)于如何理解pos機訂單支付,基于有限狀態(tài)機與消息隊列的三方支付系統(tǒng)補單實踐的知識，后面我們會繼續(xù)為大家整理關(guān)于如何理解pos機訂單支付的知識，希望能夠幫助到大家！