Cos’è l’idempotenza nei sistemi distribuiti?

L’idempotenza significa che i tentativi di ripetere la stessa richiesta di operazione non generano effetti collaterali aggiuntivi, anche in caso di fallimenti di rete, ripetizione di messaggi o timeout dei client.

Come prevengono le chiavi di idempotenze le richieste API duplicate?

Un chiave di idempotenza permette a un server di rilevare un’operazione ripetuta, confrontarla con la richiesta originale e restituire il risultato memorizzato invece di eseguire nuovamente la mutazione.

Per quanto tempo dovrebbe essere conservata una chiave di idempotenza?

Conserva un chiave di idempotenza per almeno la finestra di retry e replay più lunga realisticamente possibile tra client, code, webhook e operatori, non solo per il valore predefinito del trasporto.

L’uso di HTTP PUT è sufficiente per rendere un’operazione idempotente?

Non è sufficiente. La semantica dei metodi HTTP aiuta, ma un’implementazione è sicura solo se le chiamate ripetute producono lo stesso risultato a livello di business e non generano effetti collaterali aggiuntivi.

Come gestiscono i consumatori eventi e messaggi duplicati?

I consumatori gestiscono i duplicati registrando gli ID dei messaggi elaborati, applicando vincoli di unicità e abbinando le modifiche dello stato locale con i pattern outbox o inbox.

L’idempotenza nei sistemi distribuiti che funziona davvero

Evitare effetti collaterali duplicati

Indice

L’idempotenza nei sistemi distribuiti è la proprietà che ti salva quando la rete fallisce, la coda ritenta, il client si blocca e l’operatore preme replay. Nei sistemi di produzione, la consegna duplicata è normale. Gli effetti collaterali duplicati sono il bug.

HTTP definisce un metodo idempotente come uno in cui richieste multiple identiche hanno lo stesso effetto intenzionale sul server di una singola richiesta. Per questo motivo, PUT, DELETE e i metodi sicuri sono idempotenti nelle semantiche del protocollo e possono essere ritentati automaticamente dopo un fallimento di comunicazione.

flusso di messaggi di integrazione: idempotenza

Questa definizione è utile, ma non è sufficiente. Nelle architetture reali, l’idempotenza non è una risposta a una domanda di trivia su HTTP. È una garanzia aziendale. Se un cliente preme “paga” una volta, non puoi addebitare due volte solo perché si è verificato un timeout tra il commit e la risposta. Se un worker aggiorna l’inventario e si blocca prima di confermare il messaggio, non puoi decrementare lo stock due volte solo perché il broker ha ridistribuito il messaggio. Questo è lo standard.

L’errore che vedo ripetutamente è trattare l’idempotenza come una caratteristica di trasporto invece che come una proprietà del sistema. La deduplicazione delle code, i verbi HTTP e i ritentativi del client aiutano, ma nessuno di questi può salvare una progettazione che permette allo stesso intento aziendale di creare un secondo effetto collaterale. Se vuoi una visione più ampia su come queste decisioni di integrazione si adattano ai confini dei servizi e ai compromessi di persistenza, inizia con Architettura delle App in Produzione: Pattern di Integrazione, Design del Codice e Accesso ai Dati.

Da dove provengono i duplicati in produzione

I duplicati non appaiono perché i team sono negligenti. Appaiono perché i sistemi distribuiti ritentano, riordinano e ripropongono.

Un client può inviare una richiesta di creazione, il server può commitarla e la risposta può comunque scomparire sulla rete. È esattamente per questo motivo che HTTP distingue i metodi idempotenti e perché le API di pagamento come Stripe e PayPal espongono meccanismi espliciti di idempotenza per metodi non sicuri come POST.

I broker di messaggi rendono il problema ancora più evidente. La consegna “almeno una volta” significa che un consumatore può essere invocato ripetutamente per lo stesso messaggio, e un handler può aggiornare il database con successo ma fallire prima della conferma, causando al broker la ridistribuzione dello stesso messaggio.

I webhook non sono diversi. GitHub afferma che le consegne dei webhook possono arrivare fuori ordine, le consegne fallite non vengono ridistribuite automaticamente e ogni consegna trasporta un GUID X-GitHub-Delivery univoco che dovresti utilizzare per proteggerti contro il replay. Per una visione architetturale pratica degli endpoint di chat come confini di interazione, vedi Piattaforme di Chat come Interfacce di Sistema nei Sistemi Moderni.

Anche i sistemi che pubblicizzano garanzie più forti ti lasciano comunque del lavoro da fare. Kafka può prevenire voci duplicate nei log di Kafka con produttori idempotenti e può fornire consegna esattamente una volta per flussi read-process-write che rimangono all’interno di Kafka con transazioni e consumatori read_committed. Ma la documentazione di design di Kafka stessa è chiara sul fatto che i sistemi esterni richiedono ancora coordinamento con offset e output. La consegna esattamente una volta di Google Cloud Pub/Sub è limitata alle sottoscrizioni pull, all’interno di una regione cloud e richiede ancora ai client di tracciare il progresso dell’elaborazione fino a quando la conferma non ha successo.

Il mio riassunto, con la mia opinione, è semplice. Assume che il trasporto ritenterà. Assume che gli operatori faranno replay. Assume che i webhook arriveranno in ritardo. Progetta il percorso di scrittura in modo che un intento ripetuto non possa creare un secondo effetto aziendale.

Il contratto API in cui fidarmi davvero

Come le chiavi di idempotenza prevengono le richieste API duplicate

L’unico contratto API in cui mi fido per le operazioni di mutazione è l’intento fornito dal chiamante più la persistenza lato server.

AWS raccomanda un identificatore di richiesta fornito dal chiamante e avverte che il servizio deve registrare atomicamente il token di idempotenza insieme al lavoro di mutazione. Stripe memorizza il primo codice di stato e il corpo della risposta per una chiave, confronta i parametri successivi con la richiesta originale e restituisce lo stesso risultato per i ritentativi. PayPal usa PayPal-Request-Id sulle API POST supportate e restituisce lo stato più recente per la richiesta precedente con quella stessa intestazione.

Questo porta a un contratto pratico:

Il client genera una chiave di idempotenza per un’operazione aziendale.
Il server delimita quella chiave per tenant e nome dell’operazione.
Il server memorizza un hash della richiesta in modo che la stessa chiave non possa essere riutilizzata per un payload diverso.
Il server registra lo stato come pending (in sospeso), completed (completato) o failed (fallito).
I ritentativi con la stessa chiave restituiscono o l’esito memorizzato o un puntatore stabile ad esso.
I ritentativi con la stessa chiave e un payload diverso falliscono in modo evidente.

Esiste una bozza di intestazione Idempotency-Key dell’IETF, ma al 09-05-2026 è ancora elencata nel Datatracker dell’IETF come Internet-Draft scaduta piuttosto che come RFC pubblicata. Nella pratica, il nome dell’intestazione è ancora ampiamente utile come convenzione de facto, ma dovresti documentare il contratto nella tua API invece di fingere che lo standard sia completato.

Cosa dovrebbe rappresentare la chiave? L’intento. Non un tentativo HTTP. Non una connessione TCP. Non un contatore di ritentativi. Se l’utente intende “crea ordine 123 una volta”, ogni ritentativo per quello stesso comando deve riutilizzare la stessa chiave. Se l’utente intende “effettua un secondo ordine”, quello deve utilizzare una chiave diversa.

Un ID richiesta è per il tracing. Una chiave di idempotenza è per la correttezza. Se li mescoli, i tuoi dashboard sembreranno ordinati mentre i tuoi soldi si muoveranno due volte.

Perché PUT non è sufficiente

No, HTTP PUT non è sufficiente per rendere un’operazione idempotente.

Sì, RFC 9110 assegna a PUT semantiche idempotenti. Ma se il tuo handler PUT emette un nuovo evento a valle, invia un’email ad ogni ritentativo o addebita nuovamente un provider esterno, allora la tua implementazione ha violato il contratto aziendale anche se il nome della tua rotta sembra rispettabile.

La scelta del verbo aiuta i client a comprendere l’intento. Non implementa l’intento per te.

Usa PUT quando il modello di risorse si adatta genuinamente a un’operazione di sostituzione completa o stile upsert. Usa POST quando stai creando comandi o azioni. Ma per qualsiasi mutazione che potrebbe essere ritentata oltre i confini di rete, documenta un contratto di idempotenza esplicito. Se le tue azioni di mutazione sono attivate da flussi di lavoro di chat, lo stesso contratto si applica in Pattern di Integrazione Slack per Allerte e Flussi di Lavoro e Pattern di Integrazione Discord per Allerte e Loop di Controllo. Gli effetti collaterali nascosti sono dove l’architettura va a morire.

Per quanto tempo dovrebbe essere memorizzata una chiave di idempotenza

Più a lungo di quanto il tuo team di trasporto voglia.

Stripe dice che le chiavi possono essere eliminate dopo almeno 24 ore. PayPal dice che la ritenzione è specifica per l’API e fornisce esempi che possono durare fino a 45 giorni. Amazon SQS FIFO deduplica solo entro una finestra di 5 minuti. GitHub mantiene le consegne recenti per 3 giorni per la ridistribuzione manuale. Quei numeri sono wildly diversi perché il periodo di ritenzione corretto è una decisione aziendale, non un’impostazione predefinita del protocollo.

Se mantieni le chiavi solo per cinque minuti perché la tua coda lo fa, non stai progettando l’idempotenza. Stai copiando una limitazione di trasporto nel tuo livello aziendale.

Mantieni i record di idempotenza per almeno il massimo di queste finestre:

orizzonte di ritentativo del client
orizzonte di ridistribuzione della coda
orizzonte di replay del webhook
orizzonte di replay dell’operatore
orizzonte di regolamento o compensazione per operazioni che muovono denaro

Per pagamenti, prenotazioni e provisioning, questo spesso significa ore o giorni, non minuti.

AWS evidenzia anche due anti-pattern con cui sono totalmente d’accordo. Non usare timestamp come chiave, perché lo skew dell’orologio e le collisioni li rendono inaffidabili. Non memorizzare ciecamente payload di richiesta interi come record di deduplicazione per ogni richiesta, perché ciò danneggia le prestazioni e la scalabilità. Memorizza un hash di richiesta normalizzato più lo stato di risposta minimo necessario per un replay sicuro. Se devi riprodurre la prima risposta byte per byte, memorizza il corpo della risposta canonica come fa Stripe.

I pattern del database che rendono reale l’idempotenza

L’idempotenza diventa reale quando lo strato di persistenza può vincere una gara esattamente una volta.

PostgreSQL ti offre due primitive critiche qui. I vincoli univoci applicano l’unicità su una o più colonne e INSERT ... ON CONFLICT ti permette di definire un’azione alternativa invece di fallire su una violazione di unicità. PostgreSQL documenta anche che ON CONFLICT DO UPDATE garantisce un risultato atomico insert-or-update (inserisci-o-aggiorna) sotto concorrenza.

Questo significa che il tuo strato di idempotenza dovrebbe solitamente iniziare con una tabella come questa:

create table api_idempotency (
    tenant_id text not null,
    operation text not null,
    idempotency_key text not null,
    request_hash text not null,
    state text not null,
    status_code integer,
    response_body jsonb,
    resource_type text,
    resource_id text,
    created_at timestamptz not null default now(),
    expires_at timestamptz not null,
    primary key (tenant_id, operation, idempotency_key)
);

E il flusso di gestione dovrebbe sembrare questo:

begin transaction

try insert (tenant_id, operation, idempotency_key, request_hash, state='pending')
on conflict do nothing

load row for (tenant_id, operation, idempotency_key) for update

if row.request_hash != incoming_request_hash
    fail with conflict or validation error

if row.state = 'completed'
    return stored response

if row.state = 'pending' and row was created by another live request
    either wait briefly, or fail fast with a retryable response

perform local business mutation

store stable result in idempotency row
set state = 'completed'

commit
return result

La parte importante non è la sintassi. La parte importante è l’atomicità. La registrazione della chiave e l’esecuzione della mutazione devono avere successo o fallire insieme. AWS lo dice esplicitamente per l’idempotenza delle API e la stessa regola si applica nei servizi basati su SQL.

Non fare una sequenza naive di “controlla poi agisci” come “seleziona chiave; se manca allora inserisci ordine”. Sotto concorrenza, due richieste possono passare il controllo e entrambe creare l’effetto collaterale. Un vincolo univoco non è opzionale. È il meccanismo che trasforma la tua architettura da folklore ottimistico a qualcosa che puoi dimostrare sotto carico.

Ecco la regola che uso nelle revisioni. Se la decisione di deduplicazione non è protetta dallo stesso confine transazionale della mutazione, non hai idempotenza. Hai speranza.

Messaggi, eventi e webhook hanno bisogno del loro confine

Come i consumatori gestiscono eventi e messaggi duplicati

Per i consumatori di messaggi, il pattern classico è ancora quello giusto. Registra gli ID dei messaggi elaborati nella stessa transazione del database dell’aggiornamento aziendale. Chris Richardson descrive direttamente l’approccio della tabella PROCESSED_MESSAGES, usando una chiave primaria su subscriber e ID messaggio in modo che i duplicati falliscano in modo pulito e possano essere ignorati.

Molti team chiamano quel negozio esplicito processed_messages (messaggi elaborati) una tabella inbox. L’etichetta conta meno della regola. Il ricevitore deve persistere la prova che ha già gestito il messaggio prima che un ritentativo possa fare nulla in modo sicuro.

Una forma minima sembra questa:

create table processed_messages (
    subscriber_id text not null,
    message_id text not null,
    processed_at timestamptz not null default now(),
    primary key (subscriber_id, message_id)
);

E il flusso del consumatore è altrettanto rigoroso del flusso HTTP:

begin transaction

insert into processed_messages (subscriber_id, message_id)
values (?, ?)
on conflict do nothing

if no row inserted
    rollback
    ack and ignore duplicate

apply business mutation

commit
ack message

Quel pattern è noioso. Bene. L’idempotenza dovrebbe essere noiosa.

È anche solitamente meglio che affidarsi ai termini di marketing dei broker. Il supporto esattamente una volta di Kafka è eccellente quando rimani all’interno del proprio modello transazionale di Kafka, ma la documentazione di Kafka avverte ancora che le destinazioni esterne hanno bisogno di cooperazione. SQS FIFO riduce le invii duplicate solo entro la sua finestra di deduplicazione di 5 minuti. L’esattamente una volta di Pub/Sub si aspetta ancora che il subscriber tracci il progresso e eviti lavori duplicati quando le conferme falliscono.

Esattamente una volta è solitamente un’ottimizzazione locale. Gli effetti collaterali idempotenti sono la garanzia del sistema.

Abbina deduplicazione con il pattern outbox

Se il tuo servizio aggiorna lo stato locale e anche pubblica un evento, il consumo idempotente da solo non è sufficiente. Hai anche bisogno di un modo sicuro per far uscire l’evento dopo che la transazione locale ha commit.

È per questo che il pattern outbox transazionale è importante. Chris Richardson descrive l’idea di base come scrivere l’evento in una tabella outbox nella stessa transazione dell’aggiornamento aziendale e poi pubblicarlo asincronamente. Debezium dice che il pattern outbox evita incoerenze tra lo stato interno di un servizio e gli eventi consumati da altri servizi. NServiceBus va oltre e mostra come l’elaborazione outbox deduplica i messaggi in arrivo e evita record zombie e messaggi fantasma.

Questa è l’architettura che raccomando per i servizi che possiedono dati e pubblicano eventi di integrazione:

Validare e persistere il comando sotto una chiave di idempotenza.
Scrivere stato aziendale ed evento outbox in una transazione locale.
Lasciare che CDC o un dispatcher outbox pubblichino l’evento.
Rendere anche i consumatori downstream idempotenti.

Outbox non rimuove la necessità di consumatori idempotenti. Rimuove la necessità di fingere che un commit del database e una pubblicazione del broker possano essere una transazione distribuita magica quando solitamente non possono.

I webhook sono solo messaggi con un branding migliore

Tratta i webhook in arrivo esattamente come messaggi da un bordo di rete non fidato.

GitHub documenta che le consegne possono arrivare fuori ordine, raccomanda l’uso di X-Hub-Signature-256 per verificare l’autenticità e fornisce X-GitHub-Delivery come identificatore di consegna univoco. Nota anche che le ridistribuzioni riutilizzano lo stesso ID di consegna.

Quindi l’architettura è semplice:

verifica prima la firma
usa il GUID di consegna come chiave di deduplicazione
persisti la ricevuta prima degli effetti collaterali
rendi gli handler consci dell’ordine invece di assumere l’ordine di arrivo
accoda il lavoro pesante e rispondi velocemente

Se il tuo handler webhook scrive direttamente nelle tabelle aziendali prima di registrare la ricevuta, non è pronto per la produzione. È solo più veloce nel commettere errori duplicati.

Saga e motori di flusso di lavoro hanno ancora bisogno di idempotenza

Le saga e i motori di flusso di lavoro durevoli non eliminano il problema. Lo rendono visibile.

Temporal raccomanda di scrivere le Attività per essere idempotenti perché le Attività possono essere ritentate dopo fallimenti o timeout. La sua documentazione evidenzia anche il caso limite in cui un worker completa con successo un effetto collaterale esterno ma si blocca prima di segnalare il completamento, causando l’esecuzione dell’Attività di nuovo. Temporal suggerisce anche di usare una combinazione di Workflow Run ID e Activity ID come chiave di idempotenza stabile quando si chiamano servizi downstream. Se stai applicando questo nell’orchestrazione dei servizi, Microservizi Go per Orchestrazione AI/ML copre i compromessi del flusso di lavoro più ampi.

Questo è esattamente il modello mentale giusto. Un motore di flusso di lavoro può preservare la cronologia di esecuzione e coordinare i ritentativi. Non può retroattivamente annullare l’addebito di una carta o annullare l’invio di un’email a meno che la tua applicazione non gli dia passaggi idempotenti e compensazioni idempotenti.

Lo stesso si applica alle saga. La guida alla saga di Temporal stessa descrive azioni compensative che vengono eseguite quando un passaggio fallisce. Quelle compensazioni devono essere idempotenti anche loro. Se “rimborsa pagamento” viene eseguito due volte, potresti aver risolto il bug originale creando uno nuovo.

La mia regola qui è brutale e semplice. Ogni Attività, ogni handler di comando e ogni compensazione che tocca il mondo esterno dovrebbero essere naturalmente idempotenti o portare una vera chiave di idempotenza al sistema downstream.

Come testare l’idempotenza prima della produzione

La maggior parte dei team testa i percorsi felici e poi si sorprende quando avvengono i ritentativi. Questo non è sufficiente.

Dovresti avere test automatizzati per almeno questi casi:

il server commita la mutazione ma la risposta non raggiunge mai il client
due richieste identiche gareggiano con la stessa chiave di idempotenza
la stessa chiave viene riutilizzata con un payload diverso
un consumatore commita il lavoro del suo database e si blocca prima di ack
un webhook viene riproposto con lo stesso ID di consegna
un dispatcher outbox pubblica lo stesso evento più di una volta
un’Attività di flusso di lavoro completa la chiamata esterna e si blocca prima che il completamento venga segnalato
un record di idempotenza scade e un ritentativo tardivo genuino arriva

AWS raccomanda esplicitamente suite di test complete che includano richieste di successo, richieste fallite e richieste duplicate. Quel consiglio è pedestre e assolutamente corretto.

Aggiungerei un altro drill di fallimento. Verifica che la risposta riproposta sia semanticamente equivalente al primo risultato. AWS discute i ritentivi in ritardo e argomenta per risposte che preservino il significato originale anche dopo che lo stato sottostante è cambiato. Questa è la differenza tra “non è successo nessun effetto collaterale extra” e “il chiamante ha ancora un contratto consistente”.

Regole opinionate che salvano sistemi reali

Ecco le regole che applicherei in una revisione architetturale.

Primo, le chiavi di idempotenza appartengono all’intento aziendale, non ai tentativi di trasporto.

Secondo, delimita ogni chiave per tenant e operazione. Gli spazi delle chiavi globali sono come le richieste non correlate collidono.

Terzo, persisti la decisione di deduplicazione atomicamente con la mutazione. Se questo non è vero, il design è sbagliato.

Quarto, rifiuta i ritentativi con stessa chiave ma payload diverso. Stripe e AWS lo fanno entrambi per buoni motivi.

Quinto, mantieni le chiavi per l’intero orizzonte di replay del processo aziendale, non per la finestra di coda più corta.

Sesto, abbina i produttori con un outbox e i consumatori con il tracciamento degli ID dei messaggi. Un lato senza l’altro è metà design.

Settimo, propaghi la stessa identità di operazione downstream quando l’azione aziendale è la stessa. AWS raccomanda esplicitamente di passare il token di idempotenza lungo la catena di elaborazione.

Otto, non assumere mai che il marketing “esattamente una volta” rimuova la necessità di effetti collaterali idempotenti.

Se questo suona severo, bene. L’idempotenza è dove l’architettura ottimistica incontra la realtà della produzione. Non hai bisogno di complessità ovunque. Ma ovunque effetti collaterali duplicati danneggerebbero denaro, stato o fiducia, l’idempotenza dovrebbe essere una parte di prima classe del contratto.