Cos’è l’idempotenza nei sistemi distribuiti?

L’idempotenza garantisce che i tentativi ripetuti della stessa richiesta di operazione non creino effetti collaterali aggiuntivi, anche in caso di fallimenti della rete, riproposizione di messaggi o timeout dei client.

Come prevengono le chiavi di idempotenza le richieste API duplicate?

Una chiave di idempotenza consente a un server di rilevare un’operazione ripetuta, confrontarla con la richiesta originale e restituire il risultato memorizzato anziché eseguire nuovamente la mutazione.

Per quanto tempo dovrebbe essere conservata una chiave di idempotenza?

Conserva la chiave di idempotenza per almeno la finestra di retry e replay più lunga realisticamente possibile tra client, code, webhook e operatori, non solo per il valore predefinito del trasporto.

L’uso di HTTP PUT è sufficiente per garantire l’idempotenza di un’operazione?

No. La semantica dei metodi HTTP aiuta, ma un’implementazione è sicura solo se chiamate ripetute producono lo stesso risultato a livello di business e non innescano effetti collaterali aggiuntivi.

Come gestiscono i consumatori gli eventi e i messaggi duplicati?

I consumatori gestiscono i duplicati registrando gli ID dei messaggi elaborati, imponendo vincoli di unicità e accoppiando le modifiche dello stato locale con i pattern outbox o inbox.

Idempotenza nei sistemi distribuiti che funziona davvero

Impedisci gli effetti collaterali duplicati

Indice

L’idempotenza nei sistemi distribuiti è la proprietà che ti salva quando la rete fallisce, la coda ritenta, il cliente entra in panico e l’operatore esegue un replay. Nei sistemi di produzione, la consegna duplicata è normale. Gli effetti collaterali duplicati sono il bug.

HTTP definisce un metodo idempotente come uno in cui richieste identiche multiple hanno lo stesso effetto intenzionale sul server di una singola richiesta. È per questo che PUT, DELETE e i metodi sicuri sono idempotenti nella semantica del protocollo e possono essere ritentati automaticamente dopo un fallimento di comunicazione.

flusso di messaggi di integrazione: idempotenza

Questa definizione è utile, ma non è sufficiente. Nelle architetture reali, l’idempotenza non è una risposta da quiz su HTTP. È una garanzia aziendale. Se un cliente preme “paga” una volta, non puoi addebitare due volte solo perché si è verificato un timeout tra il commit e la risposta. Se un worker aggiorna l’inventario e crasha prima di confermare (ack) il messaggio, non puoi decrementare lo stock due volte solo perché il broker ha ridistribuito il messaggio. Questo è lo standard.

L’errore che vedo ripetutamente è trattare l’idempotenza come una caratteristica di trasporto invece che come una proprietà del sistema. La deduplicazione delle code, i verbi HTTP e i ritentativi del cliente aiutano, ma nessuno di loro può salvare un design che permette alla stessa intenzione aziendale di creare un secondo effetto collaterale. Se desideri una visione più ampia su come queste decisioni di integrazione si inseriscono nei confini dei servizi e nei compromessi di persistenza, inizia con Architettura delle App in Produzione: Pattern di Integrazione, Design del Codice e Accesso ai Dati.

Da dove provengono i duplicati in produzione

I duplicati non appaiono perché i team sono negligenti. Appaiono perché i sistemi distribuiti ritentano, riordinano ed eseguono il replay.

Un cliente può inviare una richiesta di creazione, il server può commitarla e la risposta può comunque scomparire sulla rete. È esattamente per questo che HTTP distingue i metodi idempotenti e perché le API di pagamento come Stripe e PayPal espongono meccanismi espliciti di idempotenza per metodi non sicuri come POST.

I broker di messaggi rendono il problema ancora più evidente. La consegna “almeno una volta” significa che un consumatore può essere invocato ripetutamente per lo stesso messaggio, e un handler può aggiornare il database con successo ma fallire prima della conferma, causando al broker la ridistribuzione dello stesso messaggio.

I webhook non sono diversi. GitHub afferma che le consegne dei webhook possono arrivare fuori ordine, le consegne fallite non vengono ridistribuite automaticamente e ogni consegna trasporta un GUID unico X-GitHub-Delivery che dovresti usare per proteggerti contro il replay. Per una visione architettonica pratica degli endpoint di chat come confini di interazione, vedi Piattaforme Chat come Interfacce di Sistema nei Sistemi Moderni.

Anche i sistemi che pubblicizzano garanzie più forti ti lasciano comunque del lavoro da fare. Kafka può prevenire voci duplicate nei log di Kafka con produttori idempotenti e può fornire consegna “esattamente una volta” per flussi read-process-write che restano all’interno di Kafka con transazioni e consumatori read_committed. Ma la documentazione di design di Kafka è chiara: i sistemi esterni richiedono comunque coordinamento con offset e output. La consegna “esattamente una volta” di Google Cloud Pub/Sub è limitata alle sottoscrizioni di tipo pull, all’interno di una regione cloud e richiede comunque ai clienti di tracciare l’avanzamento dell’elaborazione fino al successo della conferma.

Il mio riassunto, con la mia opinione, è semplice. Assumi che il trasporto ritenterà. Assumi che gli operatori eseguiranno il replay. Assumi che i webhook arriveranno in ritardo. Progetta il percorso di scrittura in modo che un’intenzione ripetuta non possa creare un secondo effetto aziendale.

Il contratto API in cui fidarmi davvero

Come le chiavi di idempotenza prevengono richieste API duplicate

L’unico contratto API in cui mi fido per le operazioni di mutazione è l’intenzione fornita dal chiamante più la persistenza lato server.

AWS raccomanda un identificatore di richiesta fornito dal chiamante e avverte che il servizio deve registrare atomicamente il token di idempotenza insieme al lavoro di mutazione. Stripe memorizza il primo codice di stato e il corpo della risposta per una chiave, confronta i parametri successivi con la richiesta originale e restituisce lo stesso risultato per i ritentativi. PayPal usa PayPal-Request-Id sulle API POST supportate e restituisce lo stato più recente per la richiesta precedente con quella stessa intestazione.

Questo porta a un contratto pratico:

Il cliente genera una chiave di idempotenza per un’operazione aziendale.
Il server delimita quella chiave per tenant e nome dell’operazione.
Il server memorizza un hash della richiesta in modo che la stessa chiave non possa essere riutilizzata per un payload diverso.
Il server registra lo stato come in attesa (pending), completato o fallito.
I ritentativi con la stessa chiave restituiscono o l’esito memorizzato o un puntatore stabile ad esso.
I ritentativi con la stessa chiave e un payload diverso falliscono in modo esplicito.

Esiste una bozza di intestazione IETF Idempotency-Key, ma al 09-05-2026 è ancora elencata nel IETF Datatracker come Internet-Draft scaduta piuttosto che come RFC pubblicata. Nella pratica, il nome dell’intestazione è ancora ampiamente utile come convenzione de facto, ma dovresti documentare il contratto nella tua API invece di fingere che lo standard sia finito.

Cosa dovrebbe rappresentare la chiave? L’intenzione. Non un tentativo HTTP. Non una connessione TCP. Non un contatore di ritentativi. Se l’utente intende “crea ordine 123 una volta”, ogni ritentativo per quello stesso comando deve riutilizzare la stessa chiave. Se l’utente intende “effettua un secondo ordine”, quello deve usare una chiave diversa.

Un ID richiesta è per il tracing. Una chiave di idempotenza è per la correttezza. Se li confondi, i tuoi dashboard sembreranno ordinati mentre il tuo denaro verrà spostato due volte.

Perché PUT non è sufficiente

No, HTTP PUT non è sufficiente per rendere un’operazione idempotente.

Sì, l’RFC 9110 dà a PUT semantica idempotente. Ma se il tuo handler PUT emette un nuovo evento a valle, invia un’email ad ogni ritentativo o addebita di nuovo un provider esterno, allora la tua implementazione ha violato il contratto aziendale anche se il nome della tua route sembra rispettabile.

La scelta del verbo aiuta i clienti a comprendere l’intenzione. Non implementa l’intenzione per te.

Usa PUT quando il modello della risorsa si adatta genuinamente a un’operazione di sostituzione completa o di tipo upsert. Usa POST quando stai creando comandi o azioni. Ma per qualsiasi mutazione che potrebbe essere ritentata oltre i confini della rete, documenta un contratto di idempotenza esplicito. Se le tue azioni di mutazione sono attivate da flussi di lavoro di chat, lo stesso contratto si applica in Pattern di Integrazione Slack per Allerte e Flussi di Lavoro e Pattern di Integrazione Discord per Allerte e Cicli di Controllo. Gli effetti collaterali nascosti sono dove l’architettura va a morire.

Quanto tempo dovrebbe essere memorizzata una chiave di idempotenza

Più a lungo di quanto il tuo team di trasporto desideri.

Stripe dice che le chiavi possono essere eliminate dopo almeno 24 ore. PayPal dice che la ritenzione è specifica dell’API e fornisce esempi che possono durare fino a 45 giorni. Amazon SQS FIFO deduplica solo entro una finestra di 5 minuti. GitHub mantiene le consegne recenti per 3 giorni per la ridistribuzione manuale. Quei numeri sono ampiamente diversi perché il periodo di ritenzione corretto è una decisione aziendale, non un default del protocollo.

Se mantieni le chiavi solo per cinque minuti perché la tua coda lo fa, non stai progettando l’idempotenza. Stai copiando una limitazione di trasporto nel tuo livello aziendale.

Mantieni i record di idempotenza per almeno il massimo di queste finestre:

orizzonte di ritentativo del cliente
orizzonte di ridistribuzione della coda
orizzonte di replay dei webhook
orizzonte di replay dell’operatore
orizzonte di regolamento o compensazione per le operazioni che muovono denaro

Per pagamenti, prenotazioni e provisioning, questo spesso significa ore o giorni, non minuti.

AWS evidenzia anche due anti-pattern con cui sono completamente d’accordo. Non usare timestamp come chiave, perché lo skew dell’orologio e le collisioni le rendono inaffidabili. Non memorizzare ciecamente payload di richiesta interi come record di deduplicazione per ogni richiesta, perché ciò danneggia le prestazioni e la scalabilità. Memorizza un hash di richiesta normalizzato più lo stato di risposta minimo necessario per un replay sicuro. Se devi riprodurre la prima risposta byte per byte, memorizza il corpo della risposta canonica come fa Stripe.

I pattern del database che rendono l’idempotenza reale

L’idempotenza diventa reale quando lo strato di persistenza può vincere una gara esattamente una volta.

PostgreSQL ti dà due primitive critiche qui. I vincoli univoci applicano l’unicità su una o più colonne, e INSERT ... ON CONFLICT ti permette di definire un’azione alternativa invece di fallire su una violazione di unicità. PostgreSQL documenta anche che ON CONFLICT DO UPDATE garantisce un esito atomico di inserimento-o-aggiornamento sotto concorrenza.

Questo significa che il tuo strato di idempotenza dovrebbe solitamente iniziare con una tabella come questa:

create table api_idempotency (
    tenant_id text not null,
    operation text not null,
    idempotency_key text not null,
    request_hash text not null,
    state text not null,
    status_code integer,
    response_body jsonb,
    resource_type text,
    resource_id text,
    created_at timestamptz not null default now(),
    expires_at timestamptz not null,
    primary key (tenant_id, operation, idempotency_key)
);

E il flusso di gestione dovrebbe apparire così:

begin transaction

try insert (tenant_id, operation, idempotency_key, request_hash, state='pending')
on conflict do nothing

load row for (tenant_id, operation, idempotency_key) for update

if row.request_hash != incoming_request_hash
    fail with conflict or validation error

if row.state = 'completed'
    return stored response

if row.state = 'pending' and row was created by another live request
    either wait briefly, or fail fast with a retryable response

perform local business mutation

store stable result in idempotency row
set state = 'completed'

commit
return result

La parte importante non è la sintassi. La parte importante è l’atomicità. La registrazione della chiave e l’esecuzione della mutazione devono avere successo o fallire insieme. AWS lo dice esplicitamente per l’idempotenza delle API, e la stessa regola si applica nei servizi supportati da SQL.

Non fare una sequenza naive di verifica-e-azione come “seleziona chiave; se mancante allora inserisci ordine”. Sotto concorrenza, due richieste possono passare il controllo e entrambe creare l’effetto collaterale. Un vincolo univoco non è opzionale. È il meccanismo che trasforma la tua architettura da folklore ottimistico a qualcosa che puoi dimostrare sotto carico.

Ecco la regola che uso nelle revisioni. Se la decisione di deduplicazione non è protetta dallo stesso confine transazionale della mutazione, non hai idempotenza. Hai speranza.

Messaggi, eventi e webhook hanno bisogno del loro confine

Come i consumatori gestiscono eventi e messaggi duplicati

Per i consumatori di messaggi, il pattern classico è ancora quello giusto. Memorizza gli ID dei messaggi elaborati nella stessa transazione del database dell’aggiornamento aziendale. Chris Richardson descrive direttamente l’approccio della tabella PROCESSED_MESSAGES, usando una chiave primaria su sottoscrittore e ID messaggio in modo che i duplicati falliscano in modo pulito e possano essere ignorati.

Molti team chiamano quel deposito esplicito processed_messages una tabella inbox. L’etichetta conta meno della regola. Il ricevitore deve persistere la prova che ha già gestito il messaggio prima che un ritentativo possa fare nulla in sicurezza.

Una forma minimale appare così:

create table processed_messages (
    subscriber_id text not null,
    message_id text not null,
    processed_at timestamptz not null default now(),
    primary key (subscriber_id, message_id)
);

E il flusso del consumatore è altrettanto rigoroso del flusso HTTP:

begin transaction

insert into processed_messages (subscriber_id, message_id)
values (?, ?)
on conflict do nothing

if no row inserted
    rollback
    ack and ignore duplicate

apply business mutation

commit
ack message

Quel pattern è noioso. Bene. L’idempotenza dovrebbe essere noiosa.

È anche solitamente meglio di cercare di affidarsi ai termini di marketing del broker. Il supporto “esattamente una volta” di Kafka è eccellente quando resti all’interno del proprio modello transazionale di Kafka, ma la documentazione di Kafka avverte ancora che le destinazioni esterne hanno bisogno di cooperazione. SQS FIFO riduce le invio duplicate solo entro la sua finestra di deduplicazione di 5 minuti. L’“esattamente una volta” di Pub/Sub si aspetta comunque che il sottoscrittore tracci l’avanzamento ed eviti lavori duplicati quando le conferme falliscono.

L’“esattamente una volta” è solitamente un’ottimizzazione locale. Gli effetti collaterali idempotenti sono la garanzia di sistema.

Abbina la deduplicazione con il pattern outbox

Se il tuo servizio aggiorna lo stato locale e pubblica anche un evento, il consumo idempotente da solo non è sufficiente. Hai anche bisogno di un modo sicuro per far uscire l’evento dopo che la transazione locale è stata committata.

È per questo che il pattern outbox transazionale è importante. Chris Richardson descrive l’idea base come scrivere l’evento in una tabella outbox nella stessa transazione dell’aggiornamento aziendale, e poi pubblicarlo asincronamente. Debezium dice che il pattern outbox evita incoerenze tra lo stato interno di un servizio e gli eventi consumati da altri servizi. NServiceBus va oltre e mostra come l’elaborazione outbox deduplica i messaggi in arrivo ed evita record zombie e messaggi fantasma.

Questa è l’architettura che raccomando per i servizi che possiedono dati e pubblicano eventi di integrazione:

Convalida e persisti il comando sotto una chiave di idempotenza.
Scrivi lo stato aziendale e l’evento outbox in una singola transazione locale.
Lascia che CDC o un dispatcher outbox pubblichi l’evento.
Rendi idempotenti anche i consumatori a valle.

L’outbox non rimuove la necessità di consumatori idempotenti. Rimuove la necessità di fingere che un commit del database e una pubblicazione del broker possano essere una singola transazione distribuita magica quando solitamente non possono.

I webhook sono solo messaggi con un branding migliore

Tratta i webhook in ingresso esattamente come messaggi da un bordo di rete non fidato.

GitHub documenta che le consegne possono arrivare fuori ordine, raccomanda l’uso di X-Hub-Signature-256 per verificare l’autenticità e fornisce X-GitHub-Delivery come identificatore di consegna unico. Nota anche che le ridistribuzioni riutilizzano lo stesso ID di consegna.

Quindi l’architettura è diretta:

verifica la firma per prima
usa il GUID di consegna come chiave di deduplicazione
persisti la ricezione prima degli effetti collaterali
rendi gli handler consapevoli dell’ordine invece di assumere l’ordine di arrivo
accoda il lavoro pesante e rispondi velocemente

Se il tuo handler webhook scrive direttamente nelle tabelle aziendali prima di registrare la ricezione, non è pronto per la produzione. È solo più veloce nel commettere errori duplicati.

Sagas e motori di workflow hanno ancora bisogno di idempotenza

Sagas e motori di workflow durevoli non eliminano il problema. Lo rendono visibile.

Temporal raccomanda di scrivere le Attività per essere idempotenti perché le Attività possono essere ritentate dopo fallimenti o timeout. La sua documentazione evidenzia persino il caso limite in cui un worker completa un effetto collaterale esterno con successo ma crasha prima di segnalare il completamento, il che causa l’esecuzione dell’Attività di nuovo. Temporal suggerisce anche di usare una combinazione di Workflow Run ID e Activity ID come chiave di idempotenza stabile quando si chiamano servizi a valle. Se stai applicando questo nell’orchestrazione dei servizi, Microservizi Go per l’Orchestrazione AI/ML copre i compromessi di workflow più ampi.

Questo è esattamente il modello mentale corretto. Un motore di workflow può preservare la cronologia di esecuzione e coordinare i ritentativi. Non può retroattivamente annullare l’addebito di una carta o annullare l’invio di un’email a meno che la tua applicazione non gli dia passaggi idempotenti e compensazioni idempotenti.

Lo stesso si applica alle sagas. La guida alle sagas di Temporal descrive azioni compensative che vengono eseguite quando un passo fallisce. Quelle compensazioni devono essere idempotenti anche loro. Se “rimborsa pagamento” viene eseguito due volte, potresti aver risolto il bug originale creando un nuovo problema.

La mia regola qui è brutale e semplice. Ogni Attività, ogni handler di comando e ogni compensazione che tocca il mondo esterno dovrebbe essere naturalmente idempotente o trasportare una vera chiave di idempotenza al sistema a valle.

Come testare l’idempotenza prima della produzione

La maggior parte dei team testa i percorsi felici e poi si stupisce quando accadono i ritentativi. Questo non è sufficiente.

Dovresti avere test automatizzati almeno per questi casi:

il server commit la mutazione ma la risposta non raggiunge mai il cliente
due richieste identiche competono con la stessa chiave di idempotenza
la stessa chiave viene riutilizzata con un payload diverso
un consumatore commit il lavoro del database e crasha prima dell’ack
un webhook viene riprodotto con lo stesso ID di consegna
un dispatcher outbox pubblica lo stesso evento più di una volta
un’Attività di workflow completa la chiamata esterna e crasha prima che il completamento sia segnalato
un record di idempotenza scade e arriva un ritentativo tardivo genuino

AWS raccomanda esplicitamente suite di test complete che includano richieste di successo, richieste fallite e richieste duplicate. Quel consiglio è banale e assolutamente corretto.

Aggiungerei un altro drill di fallimento. Verifica che la risposta riprodotta sia semanticamente equivalente al primo risultato. AWS discute i ritentativi tardivi e argomenta per risposte che preservino il significato originale anche dopo che lo stato sottostante è cambiato. Questa è la differenza tra “non è successo nessun effetto collaterale extra” e “il chiamante ha ancora un contratto consistente”.

Regole opiniose che salvano sistemi reali

Ecco le regole che applicherei in una revisione architettonica.

Primo, le chiavi di idempotenza appartengono all’intenzione aziendale, non ai tentativi di trasporto.

Secondo, delimita ogni chiave per tenant e operazione. Gli spazi delle chiavi globali sono come le richieste non correlate collidono.

Terzo, persisti la decisione di deduplicazione atomicamente con la mutazione. Se questo non è vero, il design è sbagliato.

Quarto, rigetta i ritentativi con stessa chiave ma payload diverso. Stripe e AWS lo fanno entrambi per una buona ragione.

Quinto, mantieni le chiavi per l’intero orizzonte di replay del processo aziendale, non per la finestra di coda più corta.

Sesto, abbina i produttori con un outbox e i consumatori con il tracciamento degli ID messaggi. Un lato senza l’altro è metà design.

Settimo, propaga la stessa identità dell’operazione a valle quando l’azione aziendale è la stessa. AWS raccomanda esplicitamente di passare il token di idempotenza lungo la catena di elaborazione.

Ottavo, non assumere mai che il marketing “esattamente una volta” rimuova la necessità di effetti collaterali idempotenti.

Se questo suona rigoroso, bene. L’idempotenza è dove l’architettura ottimistica incontra la realtà della produzione. Non hai bisogno di complessità ovunque. Ma ovunque effetti collaterali duplicati danneggerebbero denaro, stato o fiducia, l’idempotenza dovrebbe essere una parte di prima classe del contratto.