【RAG安全隔离系列】第4讲权限校验拖垮 RAG高并发下 Java 熔断降级实战手记前言上周三凌晨三点我被电话叫醒。线上 RAG 服务报警CPU 飙到 90%接口响应时间从 200ms 飙升到 5 秒。不是大模型挂了也不是向量数据库崩了。问题出在权限校验上。我们的企业知识库做了多租户隔离。用户每次查文档都得先问权限服务“这人能看吗”平时没事。但那天早高峰并发量突然翻了十倍。权限服务扛不住响应变慢。Java 线程池瞬间被占满所有请求都在等权限校验返回。整个 RAG 链路死在了“进门安检”上。这就是典型的“木桶效应”。检索再快权限校验一堵全盘皆输。今天咱们不聊虚的直接复盘这次事故。讲讲怎么在 Java 客户端给 RAG 的权限校验加上一层“熔断降级”的护城河。一、底层原理1.1 核心机制RAG 的核心流程其实是“检索 生成”。但在企业级场景里检索前必须加一道“权限过滤”。理想状态下流程是这样的用户发起查询。调用权限服务获取允许访问的文档 ID 列表。拿着 ID 列表去向量库检索。把结果扔给大模型。问题出在第 2 步。权限服务通常是独立的微服务。它要查数据库要鉴权要算角色关系。这本身就很耗时。一旦它卡住第 3 步和第 4 步就全得等。我们需要引入熔断器。熔断器的作用就像电路里的保险丝。当权限服务响应太慢或者报错太多熔断器直接“跳闸”。这时候请求不再去调用权限服务而是直接走降级逻辑。比如只返回公开文档或者返回缓存里的旧权限数据。虽然数据可能不实时但系统保住了用户能用到功能。下面这张图展示了熔断器在 RAG 链路中的位置。graph TD A[用户请求(查询)] -- B[Java 客户端网关] B -- C{熔断器状态} C -- 关闭(正常) -- D[调用权限服务] C -- 打开(熔断) -- E[执行降级逻辑] D -- 成功 -- F[获取权限文档 ID] D -- 失败/超时 -- C E -- G[返回兜底数据(如公开文档)] F -- H[向量检索引擎] G -- H H -- I[大模型生成回答] I -- J[返回最终结果] style C fill:#f9f,stroke:#333,stroke-width:2px style E fill:#ff9999,stroke:#333,stroke-width:2px设计优势很明显。第一保护下游。权限服务不再被海量请求打垮有喘息机会。第二保障核心。检索和生成链路不被阻塞用户至少能看到部分内容。第三快速恢复。熔断器有自动探测机制等权限服务好了自动闭合恢复正常。1.2 与同类方案的对比很多兄弟会问不用熔断加缓存行不行当然行但各有优劣。我们对比一下三种主流方案。方案响应速度数据一致性系统稳定性适用场景纯同步校验慢高低 (易雪崩)内部低频管理后台缓存优先快中 (有延迟)中 (缓存击穿风险)读多写少场景熔断降级极快 (降级时)低 (兜底数据)高 (隔离故障)高并发核心业务纯同步校验最稳但也最脆。权限服务一挂全线瘫痪。缓存优先快但缓存要是坏了或者数据更新太慢用户可能看到不该看的或者看不到该看的。熔断降级是为了“保命”。它承认权限服务可能挂提前准备好“备胎”。在高并发场景下保命比完美更重要。二、快速上手别整那些复杂的框架配置。咱们先用 Resilience4j 写个 Hello World。这个库是 Java 生态里做熔断最稳的Spring Cloud 默认也集成它。目标是当权限服务报错超过 50%自动熔断直接返回空列表。import io.github.resilience4j.circuitbreaker.CircuitBreaker; import io.github.resilience4j.circuitbreaker.CircuitBreakerConfig; import io.github.resilience4j.circuitbreaker.CircuitBreakerRegistry; import java.time.Duration; import java.util.ArrayList; import java.util.List; public class PermissionCircuitBreakerDemo { public static void main(String[] args) { // 1. 配置熔断器规则 // 失败率超过 50% 就熔断 // 熔断后等待 10 秒尝试半开状态 CircuitBreakerConfig config CircuitBreakerConfig.custom() .failureRateThreshold(50) .waitDurationInOpenState(Duration.ofSeconds(10)) .slidingWindowType(CircuitBreakerConfig.SlidingWindowType.COUNT_BASED) .slidingWindowSize(10) .build(); // 2. 注册熔断器 CircuitBreakerRegistry registry CircuitBreakerRegistry.of(config); CircuitBreaker circuitBreaker registry.circuitBreaker(权限校验熔断器); // 3. 模拟调用 try { // 装饰你的业务方法 ListString 权限文档列表 CircuitBreaker.ofCallable( circuitBreaker, () - 模拟调用权限服务() ).get(); System.out.println(获取到的文档列表 权限文档列表); } catch (Exception e) { // 4. 捕获异常执行降级 System.out.println(熔断触发执行降级逻辑...); ListString 兜底文档列表 获取公开文档(); System.out.println(返回兜底文档 兜底文档列表); } } // 模拟权限服务故意让它报错 private static ListString 模拟调用权限服务() throws Exception { throw new RuntimeException(权限服务超时); } // 降级逻辑返回公开文档 private static ListString 获取公开文档() { ListString 列表 new ArrayList(); 列表.add(员工手册_公开版.pdf); 列表.add(公司通讯录_公开版.xlsx); return 列表; } }代码很简单。核心就是CircuitBreaker.ofCallable。它把原本可能报错的方法包起来。一旦触发规则直接抛异常我们捕获后走降级。3 分钟就能跑通。三、核心 API / 深水区光会 Hello World 不够。生产环境里参数怎么调异常怎么处理3.1 核心方法速查Resilience4j 有几个关键配置你得记在小本本上。配置项含义推荐值failureRateThreshold失败率阈值50% ~ 70%waitDurationInOpenState熔断后等待时长10s ~ 30sslidingWindowSize滑动窗口大小100 (请求数)permittedNumberOfCallsInHalfOpenState半开状态允许请求数5 ~ 10failureRateThreshold别设太低。网络抖动是常态。设成 50%意味着 10 次请求错 5 次才熔断。waitDurationInOpenState别设太短。权限服务刚恢复要是马上又被打挂那就真完了。给足它 10 秒喘息。3.2 生产级配置生产环境千万别 catch 住异常就不管了。你得记录日志还得发监控报警。try { // 执行业务 } catch (CallNotPermittedException e) { // 这是熔断器主动拒绝请求 log.warn(熔断器开启请求被拒绝用户 ID: {}, 当前用户 ID); // 发送监控指标 metricsRecorder.recordCircuitBreakerOpen(权限服务); } catch (Exception e) { // 这是业务逻辑报错 log.error(权限服务调用失败, e); }超时控制也得配。熔断器不管超时你得自己配Timeout。// 权限服务最多等 500ms TimeLimiterConfig timeoutConfig TimeLimiterConfig.custom() .timeoutDuration(Duration.ofMillis(500)) .build();权限校验要是超过 500ms直接砍掉别等。3.3 高级定制有时候降级逻辑不能太简单。比如不同部门的用户降级策略不一样。财务部的文档熔断时必须返回“暂无权限”。普通员工的文档熔断可以返回“公开文档”。这时候你得写个自定义的FallbackDecorator。根据用户角色动态决定返回什么。别为了省事一刀切。四、实战演练咱们来个真实的场景。公司知识库有“绝密”、“内部”、“公开”三个等级。高并发下权限服务挂了。我们要保证用户至少能看到“公开”文档不能看到“绝密”文档。代码逻辑如下。public class RagPermissionService { // 熔断器实例 private final CircuitBreaker circuitBreaker; // 缓存客户端 private final RedisTemplateString, Object redisTemplate; public RagPermissionService(CircuitBreaker circuitBreaker, RedisTemplateString, Object redisTemplate) { this.circuitBreaker circuitBreaker; this.redisTemplate redisTemplate; } /** * 获取用户可访问的文档 ID 列表 */ public ListString 获取用户可访问文档 ID(String 用户 ID) { // 1. 先查缓存减少熔断器压力 String 缓存键 perm: 用户 ID; ListString 缓存结果 (ListString) redisTemplate.opsForValue().get(缓存键); if (缓存结果 ! null) { return 缓存结果; } // 2. 尝试调用远程权限服务带熔断保护 try { ListString 远程结果 CircuitBreaker.ofCallable( circuitBreaker, () - 远程权限服务.query(用户 ID) ).get(); // 3. 写入缓存有效期 5 分钟 redisTemplate.opsForValue().set(缓存键, 远程结果, 5, TimeUnit.MINUTES); return 远程结果; } catch (CallNotPermittedException e) { // 熔断器打开执行降级 log.warn(权限服务熔断用户 {}: 返回公开文档, 用户 ID); return 获取公开文档列表(); } catch (Exception e) { // 其他异常也走降级防止雪崩 log.error(权限服务异常用户 {}: 返回公开文档, 用户 ID, e); return 获取公开文档列表(); } } private ListString 获取公开文档列表() { // 硬编码或者查本地配置保证绝对可用 ListString 列表 new ArrayList(); 列表.add(doc_public_001); 列表.add(doc_public_002); return 列表; } }结果分析。正常情况走远程服务数据准。熔断情况走公开文档系统稳。缓存命中速度最快。三层防护总有一层能扛住。五、避坑指南与最佳实践这几年踩过的坑都给你们填在这了。技巧缓存与熔断的配合很多人把熔断和缓存对立起来。其实它们是搭档。缓存是“第一道防线”熔断是“最后一道防线”。先查缓存缓存没有再走熔断保护下的远程调用。这样能极大减少熔断器被触发的概率。⚠️警告降级数据的安全性降级返回“公开文档”时千万检查一遍。别把“绝密”文档的 ID 也混进去了。降级是为了可用性不是为了泄露数据。最好在降级逻辑里硬编码一批安全的 ID别动态查库。✅推荐监控熔断状态熔断器状态变了你得知道。别等用户投诉了才发现熔断器打开半小时了。接入 Prometheus监控circuit_breaker_state指标。一旦变成OPEN钉钉群里立刻报警。六、综合实战演示最后给出一套精简的、闭环的综合实战代码。模拟一个 RAG 检索服务集成熔断、缓存、降级。import io.github.resilience4j.circuitbreaker.CircuitBreaker; import io.github.resilience4j.circuitbreaker.CircuitBreakerConfig; import io.github.resilience4j.circuitbreaker.CircuitBreakerRegistry; import java.time.Duration; import java.util.ArrayList; import java.util.List; import java.util.concurrent.TimeUnit; // 模拟 Redis 工具类 class RedisMock { private static ListString 缓存数据 null; public static ListString get(String key) { return 缓存数据; } public static void set(String key, ListString val, long t, TimeUnit u) { 缓存数据 val; } } public class ComprehensiveRagDemo { public static void main(String[] args) { // 1. 初始化熔断器配置 CircuitBreakerConfig config CircuitBreakerConfig.custom() .failureRateThreshold(50) .waitDurationInOpenState(Duration.ofSeconds(5)) // 演示用生产建议 10s .slidingWindowSize(5) .build(); CircuitBreakerRegistry registry CircuitBreakerRegistry.of(config); CircuitBreaker 熔断器 registry.circuitBreaker(RAG 权限熔断器); // 2. 模拟用户请求 String 用户 ID 员工_007; // 3. 执行检索流程 执行检索流程(用户 ID, 熔断器); // 4. 模拟连续失败触发熔断 System.out.println(\n--- 模拟连续失败 ---); for(int i0; i6; i) { 执行检索流程(用户 ID, 熔断器); } // 5. 模拟恢复 System.out.println(\n--- 模拟服务恢复 ---); try { TimeUnit.SECONDS.sleep(6); } catch (Exception e){} 执行检索流程(用户 ID, 熔断器); } private static void 执行检索流程(String 用户 ID, CircuitBreaker 熔断器) { System.out.print(用户 用户 ID 发起请求... ); // A. 查缓存 ListString 缓存 RedisMock.get(perm: 用户 ID); if (缓存 ! null) { System.out.println(命中缓存结果 缓存); return; } // B. 调用远程 (带熔断) try { ListString 结果 CircuitBreaker.ofCallable( 熔断器, () - 远程权限服务查询(用户 ID) ).get(); // 写缓存 RedisMock.set(perm: 用户 ID, 结果, 1, TimeUnit.MINUTES); System.out.println(远程成功结果 结果); } catch (Exception e) { // C. 降级 System.out.println(触发降级返回公开文档); ListString 兜底 new ArrayList(); 兜底.add(公开手册.pdf); System.out.println(兜底结果 兜底); } } // 模拟远程服务前 5 次成功第 6 次开始报错 private static int 计数器 0; private static ListString 远程权限服务查询(String 用户 ID) throws Exception { 计数器; if (计数器 5) { throw new Exception(服务不可用); } ListString 列表 new ArrayList(); 列表.add(内部文档_A); return 列表; } }运行结果会清晰展示前几次正常中间触发熔断走降级等待几秒后自动恢复。这就是生产级该有的样子。七、总结RAG 系统里权限校验是必经之路也是脆弱环节。高并发下别迷信“绝对准确”。熔断降级是用“部分可用”换取“系统存活”。记住三点第一缓存先行减少远程调用。第二熔断兜底防止雪崩。第三监控到位快速响应。技术是为业务服务的。能让用户顺畅查到文档比权限数据精确到秒更重要。今晚能睡个安稳觉比什么都强。
【RAG安全隔离系列】第4讲:权限校验拖垮 RAG!高并发下 Java 熔断降级实战手记
发布时间:2026/6/3 1:53:07
【RAG安全隔离系列】第4讲权限校验拖垮 RAG高并发下 Java 熔断降级实战手记前言上周三凌晨三点我被电话叫醒。线上 RAG 服务报警CPU 飙到 90%接口响应时间从 200ms 飙升到 5 秒。不是大模型挂了也不是向量数据库崩了。问题出在权限校验上。我们的企业知识库做了多租户隔离。用户每次查文档都得先问权限服务“这人能看吗”平时没事。但那天早高峰并发量突然翻了十倍。权限服务扛不住响应变慢。Java 线程池瞬间被占满所有请求都在等权限校验返回。整个 RAG 链路死在了“进门安检”上。这就是典型的“木桶效应”。检索再快权限校验一堵全盘皆输。今天咱们不聊虚的直接复盘这次事故。讲讲怎么在 Java 客户端给 RAG 的权限校验加上一层“熔断降级”的护城河。一、底层原理1.1 核心机制RAG 的核心流程其实是“检索 生成”。但在企业级场景里检索前必须加一道“权限过滤”。理想状态下流程是这样的用户发起查询。调用权限服务获取允许访问的文档 ID 列表。拿着 ID 列表去向量库检索。把结果扔给大模型。问题出在第 2 步。权限服务通常是独立的微服务。它要查数据库要鉴权要算角色关系。这本身就很耗时。一旦它卡住第 3 步和第 4 步就全得等。我们需要引入熔断器。熔断器的作用就像电路里的保险丝。当权限服务响应太慢或者报错太多熔断器直接“跳闸”。这时候请求不再去调用权限服务而是直接走降级逻辑。比如只返回公开文档或者返回缓存里的旧权限数据。虽然数据可能不实时但系统保住了用户能用到功能。下面这张图展示了熔断器在 RAG 链路中的位置。graph TD A[用户请求(查询)] -- B[Java 客户端网关] B -- C{熔断器状态} C -- 关闭(正常) -- D[调用权限服务] C -- 打开(熔断) -- E[执行降级逻辑] D -- 成功 -- F[获取权限文档 ID] D -- 失败/超时 -- C E -- G[返回兜底数据(如公开文档)] F -- H[向量检索引擎] G -- H H -- I[大模型生成回答] I -- J[返回最终结果] style C fill:#f9f,stroke:#333,stroke-width:2px style E fill:#ff9999,stroke:#333,stroke-width:2px设计优势很明显。第一保护下游。权限服务不再被海量请求打垮有喘息机会。第二保障核心。检索和生成链路不被阻塞用户至少能看到部分内容。第三快速恢复。熔断器有自动探测机制等权限服务好了自动闭合恢复正常。1.2 与同类方案的对比很多兄弟会问不用熔断加缓存行不行当然行但各有优劣。我们对比一下三种主流方案。方案响应速度数据一致性系统稳定性适用场景纯同步校验慢高低 (易雪崩)内部低频管理后台缓存优先快中 (有延迟)中 (缓存击穿风险)读多写少场景熔断降级极快 (降级时)低 (兜底数据)高 (隔离故障)高并发核心业务纯同步校验最稳但也最脆。权限服务一挂全线瘫痪。缓存优先快但缓存要是坏了或者数据更新太慢用户可能看到不该看的或者看不到该看的。熔断降级是为了“保命”。它承认权限服务可能挂提前准备好“备胎”。在高并发场景下保命比完美更重要。二、快速上手别整那些复杂的框架配置。咱们先用 Resilience4j 写个 Hello World。这个库是 Java 生态里做熔断最稳的Spring Cloud 默认也集成它。目标是当权限服务报错超过 50%自动熔断直接返回空列表。import io.github.resilience4j.circuitbreaker.CircuitBreaker; import io.github.resilience4j.circuitbreaker.CircuitBreakerConfig; import io.github.resilience4j.circuitbreaker.CircuitBreakerRegistry; import java.time.Duration; import java.util.ArrayList; import java.util.List; public class PermissionCircuitBreakerDemo { public static void main(String[] args) { // 1. 配置熔断器规则 // 失败率超过 50% 就熔断 // 熔断后等待 10 秒尝试半开状态 CircuitBreakerConfig config CircuitBreakerConfig.custom() .failureRateThreshold(50) .waitDurationInOpenState(Duration.ofSeconds(10)) .slidingWindowType(CircuitBreakerConfig.SlidingWindowType.COUNT_BASED) .slidingWindowSize(10) .build(); // 2. 注册熔断器 CircuitBreakerRegistry registry CircuitBreakerRegistry.of(config); CircuitBreaker circuitBreaker registry.circuitBreaker(权限校验熔断器); // 3. 模拟调用 try { // 装饰你的业务方法 ListString 权限文档列表 CircuitBreaker.ofCallable( circuitBreaker, () - 模拟调用权限服务() ).get(); System.out.println(获取到的文档列表 权限文档列表); } catch (Exception e) { // 4. 捕获异常执行降级 System.out.println(熔断触发执行降级逻辑...); ListString 兜底文档列表 获取公开文档(); System.out.println(返回兜底文档 兜底文档列表); } } // 模拟权限服务故意让它报错 private static ListString 模拟调用权限服务() throws Exception { throw new RuntimeException(权限服务超时); } // 降级逻辑返回公开文档 private static ListString 获取公开文档() { ListString 列表 new ArrayList(); 列表.add(员工手册_公开版.pdf); 列表.add(公司通讯录_公开版.xlsx); return 列表; } }代码很简单。核心就是CircuitBreaker.ofCallable。它把原本可能报错的方法包起来。一旦触发规则直接抛异常我们捕获后走降级。3 分钟就能跑通。三、核心 API / 深水区光会 Hello World 不够。生产环境里参数怎么调异常怎么处理3.1 核心方法速查Resilience4j 有几个关键配置你得记在小本本上。配置项含义推荐值failureRateThreshold失败率阈值50% ~ 70%waitDurationInOpenState熔断后等待时长10s ~ 30sslidingWindowSize滑动窗口大小100 (请求数)permittedNumberOfCallsInHalfOpenState半开状态允许请求数5 ~ 10failureRateThreshold别设太低。网络抖动是常态。设成 50%意味着 10 次请求错 5 次才熔断。waitDurationInOpenState别设太短。权限服务刚恢复要是马上又被打挂那就真完了。给足它 10 秒喘息。3.2 生产级配置生产环境千万别 catch 住异常就不管了。你得记录日志还得发监控报警。try { // 执行业务 } catch (CallNotPermittedException e) { // 这是熔断器主动拒绝请求 log.warn(熔断器开启请求被拒绝用户 ID: {}, 当前用户 ID); // 发送监控指标 metricsRecorder.recordCircuitBreakerOpen(权限服务); } catch (Exception e) { // 这是业务逻辑报错 log.error(权限服务调用失败, e); }超时控制也得配。熔断器不管超时你得自己配Timeout。// 权限服务最多等 500ms TimeLimiterConfig timeoutConfig TimeLimiterConfig.custom() .timeoutDuration(Duration.ofMillis(500)) .build();权限校验要是超过 500ms直接砍掉别等。3.3 高级定制有时候降级逻辑不能太简单。比如不同部门的用户降级策略不一样。财务部的文档熔断时必须返回“暂无权限”。普通员工的文档熔断可以返回“公开文档”。这时候你得写个自定义的FallbackDecorator。根据用户角色动态决定返回什么。别为了省事一刀切。四、实战演练咱们来个真实的场景。公司知识库有“绝密”、“内部”、“公开”三个等级。高并发下权限服务挂了。我们要保证用户至少能看到“公开”文档不能看到“绝密”文档。代码逻辑如下。public class RagPermissionService { // 熔断器实例 private final CircuitBreaker circuitBreaker; // 缓存客户端 private final RedisTemplateString, Object redisTemplate; public RagPermissionService(CircuitBreaker circuitBreaker, RedisTemplateString, Object redisTemplate) { this.circuitBreaker circuitBreaker; this.redisTemplate redisTemplate; } /** * 获取用户可访问的文档 ID 列表 */ public ListString 获取用户可访问文档 ID(String 用户 ID) { // 1. 先查缓存减少熔断器压力 String 缓存键 perm: 用户 ID; ListString 缓存结果 (ListString) redisTemplate.opsForValue().get(缓存键); if (缓存结果 ! null) { return 缓存结果; } // 2. 尝试调用远程权限服务带熔断保护 try { ListString 远程结果 CircuitBreaker.ofCallable( circuitBreaker, () - 远程权限服务.query(用户 ID) ).get(); // 3. 写入缓存有效期 5 分钟 redisTemplate.opsForValue().set(缓存键, 远程结果, 5, TimeUnit.MINUTES); return 远程结果; } catch (CallNotPermittedException e) { // 熔断器打开执行降级 log.warn(权限服务熔断用户 {}: 返回公开文档, 用户 ID); return 获取公开文档列表(); } catch (Exception e) { // 其他异常也走降级防止雪崩 log.error(权限服务异常用户 {}: 返回公开文档, 用户 ID, e); return 获取公开文档列表(); } } private ListString 获取公开文档列表() { // 硬编码或者查本地配置保证绝对可用 ListString 列表 new ArrayList(); 列表.add(doc_public_001); 列表.add(doc_public_002); return 列表; } }结果分析。正常情况走远程服务数据准。熔断情况走公开文档系统稳。缓存命中速度最快。三层防护总有一层能扛住。五、避坑指南与最佳实践这几年踩过的坑都给你们填在这了。技巧缓存与熔断的配合很多人把熔断和缓存对立起来。其实它们是搭档。缓存是“第一道防线”熔断是“最后一道防线”。先查缓存缓存没有再走熔断保护下的远程调用。这样能极大减少熔断器被触发的概率。⚠️警告降级数据的安全性降级返回“公开文档”时千万检查一遍。别把“绝密”文档的 ID 也混进去了。降级是为了可用性不是为了泄露数据。最好在降级逻辑里硬编码一批安全的 ID别动态查库。✅推荐监控熔断状态熔断器状态变了你得知道。别等用户投诉了才发现熔断器打开半小时了。接入 Prometheus监控circuit_breaker_state指标。一旦变成OPEN钉钉群里立刻报警。六、综合实战演示最后给出一套精简的、闭环的综合实战代码。模拟一个 RAG 检索服务集成熔断、缓存、降级。import io.github.resilience4j.circuitbreaker.CircuitBreaker; import io.github.resilience4j.circuitbreaker.CircuitBreakerConfig; import io.github.resilience4j.circuitbreaker.CircuitBreakerRegistry; import java.time.Duration; import java.util.ArrayList; import java.util.List; import java.util.concurrent.TimeUnit; // 模拟 Redis 工具类 class RedisMock { private static ListString 缓存数据 null; public static ListString get(String key) { return 缓存数据; } public static void set(String key, ListString val, long t, TimeUnit u) { 缓存数据 val; } } public class ComprehensiveRagDemo { public static void main(String[] args) { // 1. 初始化熔断器配置 CircuitBreakerConfig config CircuitBreakerConfig.custom() .failureRateThreshold(50) .waitDurationInOpenState(Duration.ofSeconds(5)) // 演示用生产建议 10s .slidingWindowSize(5) .build(); CircuitBreakerRegistry registry CircuitBreakerRegistry.of(config); CircuitBreaker 熔断器 registry.circuitBreaker(RAG 权限熔断器); // 2. 模拟用户请求 String 用户 ID 员工_007; // 3. 执行检索流程 执行检索流程(用户 ID, 熔断器); // 4. 模拟连续失败触发熔断 System.out.println(\n--- 模拟连续失败 ---); for(int i0; i6; i) { 执行检索流程(用户 ID, 熔断器); } // 5. 模拟恢复 System.out.println(\n--- 模拟服务恢复 ---); try { TimeUnit.SECONDS.sleep(6); } catch (Exception e){} 执行检索流程(用户 ID, 熔断器); } private static void 执行检索流程(String 用户 ID, CircuitBreaker 熔断器) { System.out.print(用户 用户 ID 发起请求... ); // A. 查缓存 ListString 缓存 RedisMock.get(perm: 用户 ID); if (缓存 ! null) { System.out.println(命中缓存结果 缓存); return; } // B. 调用远程 (带熔断) try { ListString 结果 CircuitBreaker.ofCallable( 熔断器, () - 远程权限服务查询(用户 ID) ).get(); // 写缓存 RedisMock.set(perm: 用户 ID, 结果, 1, TimeUnit.MINUTES); System.out.println(远程成功结果 结果); } catch (Exception e) { // C. 降级 System.out.println(触发降级返回公开文档); ListString 兜底 new ArrayList(); 兜底.add(公开手册.pdf); System.out.println(兜底结果 兜底); } } // 模拟远程服务前 5 次成功第 6 次开始报错 private static int 计数器 0; private static ListString 远程权限服务查询(String 用户 ID) throws Exception { 计数器; if (计数器 5) { throw new Exception(服务不可用); } ListString 列表 new ArrayList(); 列表.add(内部文档_A); return 列表; } }运行结果会清晰展示前几次正常中间触发熔断走降级等待几秒后自动恢复。这就是生产级该有的样子。七、总结RAG 系统里权限校验是必经之路也是脆弱环节。高并发下别迷信“绝对准确”。熔断降级是用“部分可用”换取“系统存活”。记住三点第一缓存先行减少远程调用。第二熔断兜底防止雪崩。第三监控到位快速响应。技术是为业务服务的。能让用户顺畅查到文档比权限数据精确到秒更重要。今晚能睡个安稳觉比什么都强。
