做SaaS支付,我们最关注的往往是“怎么收到钱”。但真正让人睡不着的,是另一个问题——订阅到期了,怎么保证权限一定收回来?
漏发积分,用户会找你。漏收权限,你自己亏。两头都不能出错啊。在开发支付系统的过程中,我把这个问题彻底拆解了一遍,最终落地了一套三层防御机制,1层被动 + 2层主动兜底。今天就来分享一下背后的设计思路和踩过的坑,希望对你构建稳健的支付系统有所启发。欢迎到 云栈社区 交流更多架构设计的心得。
被动层:Webhook 通知
订阅过期这件事,主动权往往不在我们手里。
用户在 Stripe、PayPal 等平台付了钱,续没续费、取没取消、有没有到期——这些状态变更,全部由支付平台掌控。我们能做的,就是等通知。
这就是 Webhook 的角色,各个支付平台在状态变更的瞬间,给我们的服务器发一个事件。收到了,就处理;没收到,就不知道。
听起来简单,但订阅的状态远比想象的多:
- 用户取消了,但还没到期(取消中)
- 到期了,自动终止(过期)
- 续费成功了,周期刷新(续订)
- 付款失败了,进入宽限期(逾期)
- 升级了,立即生效
- 降级了,下个周期生效
每一种状态变更,支付平台发的事件类型都不一样。漏处理一个,后果可想而知,总有一方会遭受损失。
我最早就在这里翻过车。比如“到期取消订阅”这件事,Stripe 其实分两步通知:第一步告诉我“用户发起了取消”,第二步等周期结束时才告诉我“订阅真正终止了”。如果我在第一步就把权限收了,用户会很生气——人家这个月是付过钱的。
这两步之间怎么平滑处理,我调试了好几版才稳住。而且 Stripe、PayPal 等不同平台的事件命名和时序还不一样,统一抽象起来又是一道坎。
Webhook 是 99% 场景的主力。Stripe、PayPal 这些成熟平台做了很多年,可靠性很高,还有自动重试机制。但——它不是100%。
网络抖动、服务器重启、部署间隙、第三方服务偶尔超时……都可能导致 Webhook 丢失或处理失败。概率很低,但在 SaaS 业务里,“很低”不等于“不会”。一旦订阅状态出现偏差,后续的计费和权限都会出错,因此必须有主动兜底方案。处理这类异步状态同步问题,可以参考 后端 & 架构 中关于高可用和最终一致性的讨论。
主动层:两道兜底防线
既然被动接收通知可能丢失,我们就需要主动出击,构建冗余的校验机制。
第一道:定时任务巡检
想象一个场景:Webhook 丢了,用户也一直没来访问——这种情况下,数据库里的订阅状态就会一直是错的。没人通知,也没人触发,订阅永远“有效”。
这还不仅仅是“数据不准”的问题。如果你的管理后台上,活跃订阅数是虚高的,拿这个数据做业务决策就是在误导自己。
更麻烦的是,如果系统里有其他逻辑依赖了这个错误状态——比如触发营销邮件或计算营收报表——那么所有下游数据都会被污染。一个漏网的过期订阅,能引发一连串的数据错误。
所以我加了一层定时巡检,周期性地扫描一遍数据库,把那些实际已过期、但状态未同步的记录纠正过来。这在 数据库/中间件/技术栈 的实践案例中是一种常见的最终一致性保障手段。
听起来简单,但真正实施时会发现,光修改一个状态字段往往不够,关联的用户额度、使用记录等数据也要一并处理,否则下次用户访问时数据会对不上,统计收入时更是会出大问题。
一次完整的巡检要处理多少关联数据、如何精准识别而不“误杀”那些正常续费的订阅——这些才是真正的挑战。
第二道:懒加载即时自愈
定时任务存在延迟,Webhook 可能丢失。但有一个触发时刻是确定且强相关的——用户主动访问系统。
在用户访问应用、请求受保护资源的那一瞬间,我会做一次实时校验。如果发现其订阅数据状态与实际不符(比如已过期但未标记),就当场修正。用户感知不到任何延迟,但权限状态在那一刻已经是最准的了。
这是最后一道,也是最直接的一道防线。不管前面两层如何遗漏,只要用户来了,状态就一定会被校准。
而且在实际开发中你会发现,需要在这个“访问时刻”校验的东西远不止“订阅有没有过期”这一项。许多与时间相关、依赖外部状态的条件判断,都可能需要类似的即时修复逻辑。
为什么是三层,而不是一层?
你可能会问,Webhook 已经那么稳定了,搞这么复杂的兜底机制有必要吗?
答案是:因为支付系统的数据准确性,是绝对不能“赌”的。
- Webhook 是被动的——第三方不通知,我们就不知道。
- 定时任务是有延迟的——两次巡检之间存在时间窗口。
- 懒加载是有前提的——需要用户主动来访问。
三层机制各有短板,但组合在一起,就形成了一个闭环的防御体系:
| 层级 |
类型 |
触发方式 |
覆盖场景 |
| Webhook |
被动 |
支付平台推送 |
99% 的正常情况 |
| 定时任务 |
主动 |
周期性巡检 |
Webhook 丢失 & 用户长期不来 |
| 懒加载 |
主动 |
用户访问时检查 |
最终防线,访问即校准 |
做支付系统最怕的不是出 Bug——Bug 能查能修。最怕的是悄悄地错,错了你都不知道,直到某天对账时发现数字对不上,或者用户免费使用了本应过期的服务。
三层防御的意义不在于每一层都会频繁被触发,而在于——不管哪个环节出了问题,总有一层能站出来兜底。
这就是处理 SaaS 订阅过期的完整思路。Webhook、定时任务、懒加载校验,三层叠加在一起,确保从订阅、取消、续费到过期的每一个状态变更,都不会被遗漏,从而构建一个让你能安心睡觉的支付系统。
发表于 4 天前
|
查看: 23|
回复: 0
