一、问题背景
SaaS模式的跨境电商独立站需要为成百上千个店铺提供服务,每个店铺的数据必须严格隔离,这是多租户架构要解决的核心问题。
在Taocarts跨境电商独立站系统的早期版本中,所有店铺数据混在同一套表里,通过shop_id字段区分。随着店铺数量增长到数千家,问题开始暴露:某次慢查询因为没有带shop_id条件,把全量数据扫了一遍,数据库CPU飙升到90%,影响了所有店铺的正常访问。那次事故让我深刻意识到,多租户的隔离不能只靠“约定”,必须靠“架构”。
二、三种数据隔离方案对比
多租户数据隔离通常有三种经典方案:
方案一:独立数据库。每个租户拥有独立的数据库实例,隔离级别最高,但成本也最高。适合企业级大租户。
方案二:独立Schema。同一数据库实例,每个租户拥有独立的Schema,隔离级别较高,成本适中。适合中型租户。
方案三:共享表(租户ID区分) 。所有租户共用同一套表,通过tenant_id字段区分,成本最低,但隔离级别相对较弱。
在Taocarts的设计中,采用了分层混合策略:免费版租户使用共享表方案降低入门门槛;付费版租户分配独立Schema,提供更好的性能和隔离;企业级租户使用独立数据库,满足高安全要求。
三、租户上下文的传递与穿透
共享表方案的核心问题是:每次数据库查询都必须带上租户ID作为过滤条件,否则就会发生数据泄露。Taocarts使用ThreadLocal在请求链路中传递租户上下文:
java
public class TenantContext {
private static final ThreadLocal currentTenant = new ThreadLocal<>();
public static void setTenantId(String tenantId) {
currentTenant.set(tenantId);
}
public static String getTenantId() {
return currentTenant.get();
}
public static void clear() {
currentTenant.remove();
}
}
通过拦截器在请求入口处从子域名或请求头解析租户ID:
java
@Component
public class TenantInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
// 从子域名解析租户ID,例如: shop123.taocarts.com
String host = request.getServerName();
String tenantId = extractTenantFromHost(host);
TenantContext.setTenantId(tenantId);
return true;
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response,
Object handler, Exception ex) {
TenantContext.clear();
}
}
四、MyBatis拦截器自动注入租户ID
为了避免每个SQL都手动拼接租户ID条件,Taocarts使用MyBatis拦截器自动注入:
java
@Intercepts({@Signature(type = StatementHandler.class, method = "prepare",
args = {Connection.class, Integer.class})})
public class TenantSqlInterceptor implements Interceptor {
@Override
public Object intercept(Invocation invocation) throws Throwable {
String tenantId = TenantContext.getTenantId();
if (StringUtils.isBlank(tenantId)) {
return invocation.proceed();
}
StatementHandler handler = (StatementHandler) invocation.getTarget();
BoundSql boundSql = handler.getBoundSql();
String sql = boundSql.getSql();
if (sql.toLowerCase().contains("where") && !sql.contains("tenant_id")) {
String newSql = sql.replaceFirst("(?i)where", "where tenant_id = '" + tenantId + "' and ");
Field field = boundSql.getClass().getDeclaredField("sql");
field.setAccessible(true);
field.set(boundSql, newSql);
}
return invocation.proceed();
}
}
五、动态数据源切换
对于使用独立Schema的租户,需要动态切换数据库连接。Taocarts使用Spring的AbstractRoutingDataSource实现路由:
java
public class DynamicDataSource extends AbstractRoutingDataSource {
@Override
protected Object determineCurrentLookupKey() {
String tenantId = TenantContext.getTenantId();
return TenantDataSourceRegistry.getDataSourceKey(tenantId);
}
}
六、踩坑与经验
在实践中,有几个容易被忽略的问题:
第一,定时任务的租户隔离。定时任务没有请求上下文,需要在执行时主动遍历所有租户,为每个租户单独初始化上下文。
第二,异步线程的租户传递。使用@Async时,子线程默认无法继承父线程的ThreadLocal。需要自定义TaskDecorator,在任务执行前复制租户ID。
第三,批量操作的租户校验。批量更新时必须确保所有数据都属于同一个租户,否则可能跨租户修改数据。
七、总结
多租户架构是SaaS系统的基石。Taocarts通过混合数据隔离策略和租户上下文的自动穿透,让业务代码完全不需要关心租户隔离细节。这套方案已在生产环境稳定支撑数千个店铺同时运行,租户间数据零泄露。
