消息漫游（Message Roaming）技术 云端历史、多端一致与可观测性的系统化落地

0. 摘要（Executive Summary）

• 问题：聊天记录需在多设备间“带着走”，并在换机/重装/新登录后快速恢复，同时保证顺序、一致性与安全。
• 核心：以会话为单位的单调序号（seq） + 客户端锚点（cursor） + 幂等去重 + 冷热分层存储 + 附件签名下载 + （可选）端到端加密（E2EE）。
• 目标 SLO（建议）：首屏近 50 条P95 < 300ms（热层）、跨层回放P95 < 2s、缺口自愈成功率 > 99.9%、重复入库率≈ 0、游标不回退。

1. 范畴与定义

• 离线消息：仅补“上次在线之后”的缺失片段。
• 消息漫游：支持回拉更早历史（受保留策略与配额限制）。
• 云备份：周期性快照/恢复的能力，不强调多端实时一致。

取舍矩阵

2. 一致性模型与序号分配

2.1 会话内总序（Per-Conversation Total Order）

• Conv-Sticky Sharding：shard = hash(conv_id) % N，确保同会话落入同分片。
• Seq 生成：分片 Leader 分配会话内单调递增 seq。写入路径使用事务/原子计数器，严禁回退。
• 高水位（HWM）：将每个会话的 max_seq 周期性持久化，主备切换时以 new_seq ≥ HWM + safety_margin 方式防回退。

2.2 幂等与去重

• 全局 msg_id（ULID/Snowflake）+ 客户端幂等键 client_req_id。
• 客户端本地库以 msg_id 唯一约束 UPSERT；服务端写路径建立幂等表，避免重复副作用。

3. 存储与分层

3.1 逻辑数据模型（关系型示例）

CREATE TABLE message (id           BIGINT PRIMARY KEY,           -- msg_id（全局唯一）conv_id      BIGINT NOT NULL,seq          BIGINT NOT NULL,              -- 会话内序号ts_ms        BIGINT NOT NULL,              -- 服务端入库时间sender_id    BIGINT NOT NULL,mtype        TINYINT NOT NULL,             -- 文本/图片/撤回/编辑/反应等content_json JSON,                         -- 明文或元数据（非 E2EE）cipher_blob  BLOB,                         -- E2EE 密文负载ref_msg_id   BIGINT,                       -- 指向被编辑/撤回的消息status       TINYINT NOT NULL DEFAULT 0,   -- 0 正常 1 撤回 2 软删INDEX idx_conv_seq (conv_id, seq),INDEX idx_conv_ts (conv_id, ts_ms)
);CREATE TABLE user_conv_cursor (user_id  BIGINT NOT NULL,conv_id  BIGINT NOT NULL,pull_seq BIGINT NOT NULL,  -- 已拉取至read_seq BIGINT NOT NULL,  -- 已读至PRIMARY KEY (user_id, conv_id)
);CREATE TABLE attachment (id        BIGINT PRIMARY KEY,msg_id    BIGINT NOT NULL,object    VARCHAR(512) NOT NULL, -- 对象存储 keysize      BIGINT,digest    VARBINARY(32),         -- SHA-256iv        VARBINARY(16),         -- E2EEalg       VARCHAR(32),           -- E2EE 算法INDEX idx_msg (msg_id)
);

3.2 热/冷分层

• 热层：近 7–30 天，低延迟 KV/列存（MySQL/TiKV/Cassandra/HBase），支撑分页与排序。
• 冷层：对象存储（S3/OBS），以**段（segment）**写入（如按 conv_id + day）。
• 清单（Manifest）：记录每段覆盖的 (seq_start, seq_end, ts_range, object_uri, bloom)，用以快速定位与跳过不相关段。
• 生命周期策略：D+30 → 冷, D+180 → 深冷；Legal Hold/合规模式跳过回收。

4. 同步协议（Pull-Driven with Push Hints）

4.1 拉取与分页（双向）

GET /sync/messages?conv_id=123&since_seq=450&direction=forward|backward&limit=100
→ {"conv_id": 123,"messages": [ ... ],"next_seq": 550,"has_more": true,"latest_seq": 10234   // 服务端感知的最高 seq（用于缺口判断）
}

• 缺口探测：first.seq != local_pull_seq+1 → 继续拉取填补缺口。
• 跨层分页：先回热层，若不足再批量解冻冷段；面向用户优先“可见速度”，后台继续补齐。

4.2 游标与已读

POST /sync/cursor
{ "conv_id": 123, "pull_seq": 550, "read_seq": 549 }

4.3 推送通知（长链）

• WebSocket/HTTP2：仅推送 (conv_id, latest_seq, hints) 通知，不推内容，客户端据此决定拉取。

4.4 幂等写（发送/编辑/撤回）

POST /message/send
{"client_req_id": "uuid-..","conv_id": 123, "mtype": 1, "payload": { "text": "hi" }
}

• 响应含 msg_id 与实际 seq。服务端持久化幂等键，二次提交直接返回相同响应。

4.5 反熵（Anti-Entropy）

• 摘要接口：GET /sync/summary?conv_ids=... → 返回 latest_seq。
• 客户端定期比对摘要与本地 pull_seq，若落后阈值 ε → 后台补拉。
• 热度分层：活跃会话更高频摘要比对；冷门会话降频以省电/省流量。

5. 客户端实现（状态机与本地库）

5.1 本地存储（SQLite/Room/Realm）

• 表结构与服务端同构（字段裁剪），msg_id 唯一索引；(conv_id, seq) 覆盖索引以支撑滚动分页。
• 渲染顺序：一律按 seq 排序；编辑/撤回通过变化事件更新 UI。
• 锚点策略：首屏拉近 50 条并固定视口锚点，上/下滚动时按需分页。

5.2 同步循环（TypeScript 伪码）

async function initialSync(convId: string) {let cursor = 0while (true) {const { messages, next_seq, has_more } =await api.pull(convId, cursor, 200, "forward")db.tx(() => {for (const m of messages) db.upsert(m)   // 去重 UPSERT by msg_iddb.setPullSeq(convId, next_seq - 1)})if (!has_more || next_seq - cursor > MAX_BOOTSTRAP) breakcursor = next_seq - 1}
}

5.3 体验细节

• 虚拟列表避免一次性渲染过多（移动端 ≤ 200 DOM 节点）。
• 草稿同步为可选的轻量云状态；未读数与 read_seq 同步。
• 附件：优先使用本地缓存，签名 URL 过期自动刷新。

6. 附件与大对象（A&O）

• 上行：直传对象存储（多段/断点），服务端仅收元数据回执（减少中转成本）。
• 下行：短期签名 URL + CDN；预览走 Range 请求。
• 完整性：客户端校验 digest（SHA-256）；失败自动重签与重下。
• E2EE：附件以对象级密钥加密（AES-GCM），密钥随消息密文一并分发。

7. 端到端加密（E2EE，可选）

7.1 密钥体系

• 设备密钥：每设备长寿命密钥对；设备信任链（扫码/链上认证）。
• 单聊：X3DH+Double Ratchet。
• 群聊：Sender Key/Megolm（对称会话密钥，成员变动触发轮转）。
• 密钥事件：作为时间线消息分发（不可由服务端篡改）。

7.2 多端同步与恢复

• 密钥备份：以用户口令/硬件安全区加密的密钥包；新设备恢复需验证。
• 遗失后果：失密即失史（服务端保存密文无明文可用）。
• 搜索：本地索引；或极少数采用“可搜索加密”（复杂且性能/安全权衡困难）。

8. 检索与上下文回放

8.1 热层检索

• 倒排索引：(token → [conv_id, seq])，命中后按 (conv_id, seq) 回放上下文窗口（±K 条）。
• 拼写纠错/分词策略与语言无关 Tokenizer 组合使用。

8.2 冷层检索

• 先扫清单（Manifest）命中段，再按段聚合回放。
• 控制首字节时间（TTFB）：先回局部摘要与“点击展开”策略。

9. 大群优化（1k–100k 规模）

• 推拉结合：仅推 latest_seq 提示，内容由客户端自行拉取，避免 N 扇出。
• 回执降级：展示“已读人数/关键成员”而非全量名单。
• 分页粒度：单页 50–200；服务端缓存“首屏块”。
• 热点隔离：群聊分片隔离、写合并、节流。
• 批量压缩：同窗口内多条系统事件合并下发。

10. 监控、SLO 与可观测性

10.1 指标（建议）

• 延迟：拉取 P50/P95/P99（热层期望 <50/150/300ms；冷层 <0.5/1/2s）
• 首登 TTFH：近 50 条历史可见时间
• 缺口率：检测到 seq 断档的请求占比
• 去重命中率：幂等/重复写命中
• 签名失败率：附件 403/过期
• 热/冷命中比：成本与体验双指标
• 客户端：渲染耗时、内存占用、帧率、崩溃率

10.2 日志与追踪

• 以 conv_id、req_id、user_id 三键贯穿；拉取/清单解冻/附件签名各自打 Span。
• 关键路径采样率 ≥ 5%（大群 ≥ 20%）。

11. 容量与成本规划

11.1 粗算公式

• 日写入量：N_msg = DAU × avg_msg_per_user_per_day × factor(1.1~1.3)
• 写入 QPS：QPS_write ≈ N_msg / 86400
• 存储：Cap = N_msg × avg_msg_size × retention_days × replica
• 冷存成本：对象存储单价 × TB/月（分层可降本 50%+）

11.2 示例（假设）

• DAU=1,000,000；人均 60 条/天；消息均 800B（含索引开销近似 1.2KB）：

  • N_msg ≈ 60M/天；QPS_write ≈ 694（峰值 ×3–5）。
  • 90 天保留：60M × 1.2KB × 90 ≈ 6.48 TB（不含副本与附件）。
  • 附件按 10% 消息触发、平均 200KB 估：60M × 10% × 200KB × 90 ≈ 1080 TB → 必须 CDN+分层。

12. 失败模式与运行手册（Runbook）

13. API 规格（HTTP/gRPC 摘要）

13.1 gRPC Proto（节选）

service Roaming {rpc Pull(PullRequest) returns (PullResponse);rpc Summary(SummaryRequest) returns (SummaryResponse);rpc AckCursor(AckCursorRequest) returns (google.protobuf.Empty);rpc Send(SendRequest) returns (SendResponse);
}message PullRequest {uint64 conv_id = 1;uint64 since_seq = 2;enum Direction { FORWARD=0; BACKWARD=1; }Direction direction = 3;uint32 limit = 4; // 50~200
}message Msg {uint64 msg_id = 1;uint64 seq = 2;int64  ts_ms = 3;uint32 mtype = 4;bytes  payload = 5; // 明文JSON或密文uint64 ref_msg_id = 6;
}message PullResponse {uint64 conv_id = 1;repeated Msg messages = 2;uint64 next_seq = 3;bool   has_more = 4;uint64 latest_seq = 5;
}

13.2 错误码（建议）

• 40001 参数非法；40101 鉴权失败；40301 越权会话；40401 会话不存在；
• 40901 幂等冲突（返回既有响应）；42901 限流；500xx 服务内部/依赖异常。

14. 灰度、回滚与迁移

1. V1（弱漫游）：仅热层、单向前向拉取、最近 N 天/条。
2. V2（冷热分层）：接入清单与归档回放；客户端跨层分页。
3. V3（反熵）：摘要比对、自愈缺口、失败重试与观测完善。
4. V4（大群优化）：推拉结合、回执降级、热点隔离。
5. V5（E2EE 可选）：密钥托管/备份/迁移、端侧索引。

回滚策略：接口双写/影子读、切流金丝雀、同构 Schema，确保任一阶段可“读老写新 / 读新写老”。

15. 测试与验收

15.1 可靠性

• 乱序/丢失/重复：属性测试（Property-based）构造并发、断电、主从切换。
• 幂等性：百万级重复写压测，重复率→0。
• 缺口自愈：注入丢段/迟到段，验证自动补齐成功率。

15.2 性能

• 首登 TTFH：冷/热混合基准；不同网络 RTT（4G/Wi-Fi）。
• 分页延迟：50/100/200 条梯度。
• 大群首屏：虚拟列表滚动性能与内存占用。

15.3 安全

• Token 重放、跨会话越权、签名泄露；E2EE 下尝试明文泄露应为 0。
• 数据驻留：地域隔离与路由校验。

16. 参考实现片段

16.1 服务端去重幂等（SQL）

CREATE TABLE write_idempotency (key         VARCHAR(64) PRIMARY KEY,req_hash    VARBINARY(32) NOT NULL,resp_json   JSON NOT NULL,created_at  DATETIME NOT NULL DEFAULT CURRENT_TIMESTAMP
);
-- 处理流程：收到 client_req_id → 插入失败则返回 resp_json（命中幂等）

16.2 客户端 UPSERT（SQLite/Android/Room）

CREATE UNIQUE INDEX ux_msg_id ON message(id);
-- Kotlin
@Insert(onConflict = OnConflictStrategy.REPLACE)
fun upsert(messages: List<MessageEntity>)

16.3 缺口检测与补齐（TS）

function hasGap(batch: Msg[], localSeq: number) {return batch.length > 0 && batch[0].seq !== localSeq + 1
}

17. 安全与合规

• 传输：TLS 1.2+、HSTS、证书钉扎（移动端）。
• 存储：磁盘加密、KMS、最小权限（IAM）。
• 合规：可配置 TTL/Legal Hold、数据驻留（Region Binding）、审计导出。
• 隐私：E2EE 情况下服务端不可读明文，搜索能力与风控需改造为端测/差分化方案。

18. FAQ（工程取舍）

• 为什么按会话分片而不是按用户？
  会话内需要严格有序与高局部性；按用户会造成跨分片合并排序与过多交叉 IO。
• 必须要长连接吗？
  不必须，但长链可显著降低“无效轮询”和首包时延；无长链时采用短轮询+ETag/摘要。
• Exactly-once 可实现吗？
  端到端意义上的 EO 代价很高；实践中采用至少一次 + 幂等去重达到同等用户体验。

19. 结语

消息漫游是一套跨存储、计算、网络、安全与端侧体验的系统工程。以会话总序为主线，围绕锚点、幂等、分层、反熵、密钥、检索、可观测逐步完备，从“弱漫游”平滑迭代到“强漫游/E2EE 大群优化”，即可在成本、可靠性与体验之间取得可持续的平衡。