充值cursor时如何避免重复扣款和状态不一致？

一、现象层：重复扣款与状态漂移的典型故障表征

• 用户投诉“同一笔充值被扣两次”，账户余额异常减少，但订单系统仅显示一条成功记录
• 监控发现 Redis 中 cursor:recharge:ts 值长期停滞，而 DB 中 last_processed_id 与实际已处理记录不匹配
• 日志中高频出现 "Processing record id=10086, but balance already deducted" 类警告
• 定时任务每轮拉取 WHERE created_at > ? ORDER BY created_at LIMIT 100，但部分记录被跳过或重复处理

二、机制层：游标分页在分布式重试下的原子性断裂点

本质是三阶段操作（处理→业务变更→位点提交）未形成强一致性闭环。下表对比常见断裂场景：

三、设计层：从“先更新后处理”到“状态驱动型事务编排”

推荐采用「状态机+预占+异步确认」模式，核心流程如下：

// 伪代码：幂等化游标处理主干
function processBatch(cursorVal) {
  // 1. 幂等校验：基于 request_id + cursorVal 构建唯一业务键
  const idempotentKey = `recharge:${reqId}:${cursorVal}`;
  if (redis.setnx(idempotentKey, "processing", "EX", 300)) {
    try {
      // 2. 执行业务（扣款+记账），包裹在 DB 事务中
      db.beginTransaction();
      deductBalance(userId, amount);
      insertLedger(userId, amount, "RECHARGE");
      // 3. 仅当业务成功，才推进游标（且与事务同库！）
      updateLastProcessedId(cursorVal); // 在同一事务内
      db.commit();
      redis.del(idempotentKey);
    } catch (e) {
      db.rollback();
      throw e;
    }
  }
}

四、架构层：构建跨组件的最终一致性保障体系

五、工程实践层：可落地的七项加固措施

1. 强制游标持久化与业务库同源：避免 Redis cursor 与 MySQL last_id 分离，优先用 DB 的 UPDATE ... WHERE last_id = ? 实现CAS推进
2. 引入双写屏障（Dual-Write Barrier）：在事务提交前，先写入 recharge_cursor_log 表（含 version 字段），再更新业务状态
3. 下游提供幂等回调接口：充值结果通知必须携带 idempotency_key，接收方校验并返回 200 OK 或 409 Conflict
4. 建立游标水位监控看板：实时比对 max(id)、last_processed_id、min(unprocessed.created_at) 三值偏差
5. 灰度发布时启用游标偏移验证：新版本启动时，先读取旧游标值，校验其对应记录是否已被处理
6. 关键字段全链路染色：从 API 入口注入 X-Request-ID，贯穿日志、DB trace_id、MQ headers、Redis key 前缀
7. 每月执行反向对账脚本：扫描所有 recharge_order，验证其是否在 account_balance_log 和 cursor_position 中存在一致映射