数据库自动回滚仅限事务内未提交的DML操作,无法撤销外部系统副作用;必须通过幂等、可查的补偿机制(如退款、状态核对)保障最终一致性。
事务提交失败时,数据库会自动回滚未完成的操作,保证数据一致性;但若涉及外部系统(如支付、消息队列、文件存储等),单纯依赖数据库回滚不够,需配合业务层的补偿机制。
数据库自动回滚的前提与限制
当事务中发生异常(如主键冲突、约束违反、连接中断)且未显式提交,数据库会在连接关闭或事务结束时自动执行回滚(ROLLBACK)。但这仅作用于当前数据库内已执行但未 COMMIT 的 DML 操作(INSERT/UPDATE/DELETE)。
- DDL 操作(如 CREATE TABLE)通常隐式提交,无法回滚
- 跨库、跨服务的操作不在数据库事务控制范围内
- 已发出的 HTTP 请求、Kafka 消息、FTP 上传等不会被自动撤销
什么时候必须引入补偿机制?
当一个业务流程包含“数据库操作 + 外部副作用”时,例如:扣减库存 → 调用支付网关 → 发送订单通知。若支付调用成功但后续 DB 提交失败,库存已扣、钱已收,但订单状态未更新——此时需人工或自动补偿。
- 典型场景:分布式事务中的最终一致性保障
- 常见形式:可逆操作(如“退款”抵消“支付”)、状态核对+修复(定时任务比对订单与支付流水)
- 关键要求:每个外部操作需具备幂等性与可查性(如支付单号、消息 traceId)
设计补偿逻辑的实用建议
补偿不是补丁,而是业务流程的一等公民。从开发初期就应明确每一步的正向动作和对应的反向动作。
- 记录完整操作日志:包括入参、返回值、时间戳、上下游标识(如订单ID、支付流水号)
- 使用状态机管理流程:如 order_status ∈ {created, paid, shipped, finished},每个状态变更对应明确的前置条件与补偿入口
- 异步驱动补偿:通过死信队列或定时扫描异常订单表触发重试或人工介入
- 避免“二次失败”:补偿操作本身也应可重试、有超时、带熔断(如退款失败达3次则告警转人工)
简单示例:电商下单中的补偿链路
用户下单 → 扣库存(DB) → 调支付 → 更新订单状态(DB)
- 若第3步失败:查支付是否成功(调查询接口),成功则触发“生成订单+发通知”补偿;失败则释放库存
- 若第2步超时未返回:主动查支付结果(最多3次),根据结果走不同补偿分支
- 所有补偿动作记入 compensation_log 表,含 status(pending/success/fail)、retry_count、next_retry_at
不复杂但容易忽略:补偿不是兜底,而是把“不可靠的外部依赖”变成“可观察、可追踪、可修复”的确定性环节。
