事故
前些天上线的扫码送会员活动。
场景:用户登录账号之后,扫二维码,送七天黄金会员,限制每个帐号只能领取一个
有恶意用户刷接口,在高并发下越过限制。
原因
领取会员流程:
1.后端先生成卡卷,将卡号放到消息队列中
2.用户扫码请求领取会员接口
2-1).先检查用户是否已经领取过该活动会员
2-2).领取过return “该帐号已领取”的标示
2-3).没领取从消息队列中拿取一张卡号
2-4).激活卡
2-5).更新用户本次活动为已经激活
这个流程在一般环境下是没有问题的,在高并发下就不行了。
2-1) 2-2) 2-3) 2-4) 2-5)
线程a -->
线程b -->
线程c -->
高并发下模拟几个线程同时请求
现在的rpc服务,除去极其敏感性数据的操作,其它数据的接口基本都没有做数据一致性控制。
其实做了控制也不能解决这个问题。再来说这个问题,高并发下因为线程a已经执行完激活卡的操作,用户的会员已经建立权益。但这时候线程a还没有执行到2-5,还没更新用户的领取卡卷的状态,这时候,又有一个这个用户的领取卡卷请求过来。2-1的check 操作并不能阻止这个请求,同样的再次领取卡卷并且激活,导致线程a