Temporal 在风控系统中的最佳实践：Workflow、Activity、Query、Search Attributes 的落地经验

一、为什么风控系统天然适合工作流编排

风控系统与普通在线接口服务有一个本质区别：
它处理的不是一次简单的函数调用，而是一段具有明确生命周期、存在多阶段依赖、包含失败重试与外部交互的决策过程。

一笔风险请求进入系统后，常常不是立刻返回结果，而是会经历如下过程：

标准化输入
识别业务场景
选择执行流程
拉取多路数据
计算多组特征
执行模型推理
运行规则判断
汇总决策结果
写入审计与回调
清理执行上下文

如果仍然用传统同步链路去硬串这些动作，会逐渐暴露出几个结构性问题。

1. 生命周期不清晰

很多实现只能表达“调用开始”和“调用结束”，却无法正式表达：

当前处于哪个阶段
哪个阶段失败
哪个阶段可重试
哪个阶段超时后如何处理

2. 失败恢复成本高

一旦任一外部依赖波动，整个同步链路要么失败，要么靠零散重试代码兜底。
久而久之，错误处理会散落在每一个函数里。

3. 并发与依赖难以兼得

风控链路中既有必须按顺序执行的阶段，也有可以并发的节点。
只靠手写调用顺序，系统很难同时保证正确性和性能。

4. 状态不可观测

对风控场景来说，知道“最终成功还是失败”远远不够。
研发、运维、策略、回放平台都需要知道：

当前执行到哪里
已经完成什么
还剩什么未完成
最近错误是什么

5. 长流程治理困难

一旦请求处理时间变长，系统就需要正式管理：

超时
重试
取消
回调
幂等
进度查询

这些能力并非业务附属品，而是流程系统的基础能力。

也正因为如此，风控系统天然适合基于工作流框架来组织控制流。
在这类架构中，工作流引擎最重要的价值不是“把几个任务串起来”，而是：

把风险决策过程从隐式调用链升级为可管理、可恢复、可查询、可检索的正式执行对象。

这正是工作流框架在风控场景中最核心的意义。

二、在风控引擎中，工作流框架应该承担什么，不应该承担什么

引入工作流框架后，很多团队会自然犯一个错误：
既然有了工作流，就把所有逻辑都塞进去。
这往往是后续复杂度失控的起点。

更合理的设计原则是：
工作流框架只负责控制语义，不直接吞下全部业务复杂性。

1. 它应该承担的职责

工作流层应主要承担以下职责：

生命周期编排
步骤顺序控制
超时与重试管理
条件跳步与失败传播
进度管理
状态查询
检索索引写入
回调与收尾驱动

这些职责都属于控制面或控制流语义，天然适合交给工作流层。

2. 它不应该承担的职责

工作流层不应直接承担：

复杂数据抓取逻辑
特征计算实现细节
模型内部推理细节
规则判断细节
大量中间态存储
频繁变化的配置解析
高耦合外部服务交互

原因很直接。
工作流层越重，越容易出现以下后果：

回放与版本兼容性变差
编排层代码越来越难维护
测试范围被迫扩大
线上与回放难以共用同一骨架

3. 最佳边界：控制流与数据面分离

对风控引擎来说，更稳妥的结构是：

工作流负责“如何推进”
活动负责“具体执行”
上下文负责“中间态承载”
检索字段负责“运行态定位”

当这四层职责被清晰切开后，工作流框架就不再是业务泥潭，而是稳定的流程骨架。

三、Workflow 的最佳实践：让主流程成为“轻骨架”

Workflow 是工作流体系中最容易被滥用的一层。
在很多失败案例中，Workflow 逐渐演化成一个巨大控制器，里面既有业务分支，又有外部调用，又有状态拼装，最后任何一处修改都牵涉全局。

成熟风控引擎里的 Workflow 应遵循“轻骨架”原则。

1. Workflow 只关心全局流程问题

Workflow 应回答的是：

当前请求对应哪条流程
流程有哪些步骤
步骤之间如何依赖
哪些步骤可以并发
哪些步骤可以跳过
哪些步骤失败后还能继续
整体何时收尾

这些问题都属于流程层问题，不涉及具体业务计算。

2. Workflow 不应关心节点内部实现

对于数据、特征、模型、规则节点，Workflow 最好完全不直接参与具体实现。
它只需要触发标准步骤执行器，并等待结果或状态返回。

这样做的最大收益是：

编排层稳定
节点层可替换
回放更容易复用
差异被限制在业务插件层

3. Workflow 应尽量保持确定性

工作流框架通常要求 Workflow 在重放时具备稳定行为。
因此，凡是依赖环境、外部状态或复杂动态解析的逻辑，都不宜直接放在 Workflow 内部。

更稳妥的做法是：

Workflow 只处理稳定控制逻辑
动态计划解析、外部依赖读取交给 Activity
运行态索引写入在统一动作中完成

4. Workflow 最好暴露清晰的进度模型

如果 Workflow 本身无法表达进度，控制面和回放系统就只能外置一套状态库。
这会造成：

状态冗余
一致性问题
额外写入负担
排障链路拉长

因此，Workflow 最好内建最小但完整的进度语义，例如：

当前状态
总阶段数
已完成阶段
正在执行步骤
重试次数
最近错误摘要

5. Workflow 应尽量让收尾动作标准化

一条流程不只是成功路径。
无论成功、失败还是超时，都需要考虑：

结果构建
回调
审计
资源清理

把这些动作纳入统一生命周期，是 Workflow 设计成熟的重要标志。

从工程角度看，好的 Workflow 看起来往往并不“复杂”。
它真正的复杂度，并不是写进自身，而是被正确地分散到了活动层、上下文层、注册层和控制面。

四、为什么应采用分层 Workflow，而不是一个巨大 Workflow

工作流框架引入后，架构设计常见有两种极端。

第一种极端是一个巨大 Workflow，负责所有阶段和所有节点。
第二种极端是把每个极小动作都拆成独立顶层 Workflow，导致结构碎裂。

风控系统更适合中间路线，也就是分层 Workflow 结构。

1. 顶层流程负责业务阶段编排

顶层 Workflow 用于组织宏观流程，例如：

输入准备
规则前置判断
资料校验阶段
主决策阶段
后处理阶段
回调与审计

它管理的是阶段关系，而不是所有细粒度节点。

2. 步骤级 Workflow 负责标准执行序列

每个步骤内部往往都遵循相似结构：

数据
特征
模型
规则

把这些动作封装在步骤级 Workflow 中，可以获得几个明显好处：

顶层主流程保持简洁
标准执行序列可复用
不同步骤共享同一执行壳层
上下文命名空间更容易隔离

3. 为什么不建议每个节点都做成顶层 Workflow

节点粒度过细会带来：

编排对象过多
状态追踪碎片化
调试成本上升
计划复杂度上升

因此，更好的粒度通常是：

顶层 Workflow 管阶段
步骤级 Workflow 管标准序列
Activity 管具体业务执行

4. 分层 Workflow 的真正收益是什么

不是“看起来更有层次”，而是：

变化面被隔离
重试边界更清晰
监控维度更稳定
回放复用更自然

分层 Workflow 实际上是在控制复杂度的传播路径。
如果没有这层切分，系统一旦增长，很快就会在主流程里重新回到大泥球结构。

五、Activity 的最佳实践：所有外部世界都应被隔离到 Activity

Activity 是工作流架构中的执行单元。
它的意义并不只是“跑代码”，而是承担与外部世界的交互边界。

在风控系统中，外部世界包括：

缓存读写
数据库操作
消息回调
三方接口调用
数据抓取
特征执行
模型推理
审计埋点

这些行为都具有共同特征：

可能失败
可能超时
可能不可重放
可能依赖网络或外部资源

因此，应尽量放在 Activity 中。

1. Activity 是副作用隔离层

Workflow 需要保持尽量稳定和可管理，而副作用操作则天然属于不确定世界。
把这些操作集中到 Activity，可以让控制流保持干净。

2. Activity 边界越清晰，运维越容易

在成熟系统中，Activity 最好不要写成“大一统执行器”。
更好的方式是按生命周期或职责拆分，例如：

全局初始化
步骤初始化
执行计划解析
数据节点执行
特征节点执行
模型节点执行
规则节点执行
结果构建
回调
清理

这样拆分的收益非常实际：

方便定位耗时瓶颈
方便区分失败阶段
方便统计不同类型动作的成功率
方便对单个动作定制超时与重试

3. Activity 最好保持输入输出稳定

同一类 Activity 最好拥有稳定参数结构与结果结构。
否则编排层虽然被隔离了，执行层仍会因输入协议混乱而失控。

4. Activity 内部要接受平台上下文，而不是自由发挥

一个成熟节点执行 Activity，不应到处自行拼缓存键、猜参数、查全局变量。
更好的方式是：

从注册表获取节点元信息
从上下文系统读取依赖结果
把结果写入标准命名空间
通过统一日志与指标上下文报告执行状态

5. Activity 不只是执行者，也是失败边界

对于复杂风控系统，失败不应只停留在异常抛出。
Activity 还应帮助系统完成：

可分类的错误
可重试的失败
可汇总的错误摘要
可观测的执行阶段

这样工作流层才有足够信息去做正确治理。

六、Local Activity 与普通 Activity 的取舍

工作流框架通常同时提供普通 Activity 和本地 Activity。
很多团队会简单地二选一，要么全部使用远程调度，要么因为追求性能把很多事情都塞到本地执行。
这两种做法都不够成熟。

更合理的方式是根据动作性质来选择。

1. 适合本地 Activity 的动作

通常包括：

轻量级控制动作
高频短耗时动作
与当前流程上下文强绑定的快速计算
不需要重型资源隔离的步骤

采用本地 Activity 的好处是：

降低调度开销
降低往返时延
缩短轻量动作总耗时
减少不必要的历史膨胀

2. 适合普通 Activity 的动作

通常包括：

耗时较长的外部调用
资源占用较高的计算
需要独立扩缩容的执行
需要明显隔离资源边界的任务

把这类任务继续放在普通 Activity 中，可以获得：

更清晰的资源隔离
更易独立扩容
更稳定的故障边界

3. 决策标准不在“功能”，而在“运行特征”

同样是一个节点，并不是因为它属于数据、特征、模型还是规则就天然决定执行方式。
真正重要的是它的运行特征：

重不重
频不频
需不需要隔离
是否会频繁阻塞
是否适合直接依附当前执行器

4. 一个常见误区

有些团队为了省事，把所有控制动作和所有计算动作都统一使用一种模式。
长期来看，这往往要么牺牲性能，要么牺牲治理性。

更成熟的经验是：

轻、短、快、强依附当前执行上下文的动作，更适合本地化；重、慢、耗资源、需隔离的动作，更适合普通 Activity。

这种分层取舍本身就是工作流落地能力成熟的重要体现。

七、Query 的真正价值：让 Workflow 变成可查询对象

很多系统在使用工作流框架时，只关注“如何启动”和“如何拿最终结果”，却忽略了 Query 这种非常关键的能力。
这会导致系统虽然能跑，却依然缺乏对执行中状态的稳定访问方式。

在风控系统中，Query 的价值尤其突出。

1. 风控流程天然需要过程态可见

策略人员、研发、运维和回放平台常常需要知道：

这笔请求当前跑到哪里
哪个阶段已经结束
哪一步还在执行
是否进入重试
当前状态是进行中、成功、失败还是超时

如果没有 Query，团队通常会选择两种替代方式：

不断刷日志
另建一张状态表

前者效率极低，后者又带来一致性和维护负担。

2. Query 最适合表达“当前态”

Query 并不是用来做复杂检索，也不是用来代替数据库。
它最适合的事情是：

返回当前进度
返回当前阶段
返回当前错误摘要
返回当前执行中的步骤列表

这类信息天然存在于 Workflow 运行态中，因此由 Query 提供最直接。

3. Query 对回放系统意义特别大

回放任务往往是长任务。
如果回放界面要实时展示进度，最自然的办法就是查询 Workflow 本身的当前态，而不是额外维护一套回放状态机。

这样做有三个明显收益：

状态源头统一
进度更新及时
前后端协议简单

4. Query 对运维诊断同样重要

当线上某笔请求迟迟未完成时，运维并不想先翻十页日志。
他们首先想知道的是：

卡在哪个阶段
是不是正在重试
还有没有步骤在跑

这些问题都适合由 Query 直接回答。

5. Query 设计原则

一个成熟风控系统中的 Query 应尽量做到：

字段稳定
语义清晰
面向当前态
避免大对象返回
不承载复杂检索需求

它的价值并不在于功能繁杂，而在于成为“在线当前态接口”。

八、Search Attributes 的真正价值：不是记录更多字段，而是让运行态可检索

很多团队在工作流落地早期没有认真设计可检索字段。
等到线上规模起来后，才发现查询单笔流程或批量定位异常极其困难。
于是开始临时补字段，但此时往往已经错过最佳设计窗口。

在风控系统中，Search Attributes 的价值非常大，因为它解决的是“检索”问题，而不是“当前态查询”问题。

1. Query 与 Search Attributes 的分工

这两者很容易混淆，但职责完全不同。

Query 负责：

看某一个运行实例的当前态

Search Attributes 负责：

在大量运行实例中按条件检索目标

因此，一个成熟系统通常会同时建设两者，而不是互相替代。

2. 哪些字段适合做 Search Attributes

真正适合放入检索字段的，通常是这几类：

业务请求标识
调用入口类型
策略版本
产品线标识
当前状态
最近错误摘要
关键路由标签

这些字段的共同特点是：

稳定
短小
具有筛选意义
面向运维与诊断

3. 哪些字段不适合

不适合的字段通常包括：

大体积对象
详细中间结果
高频变化且无检索价值的字段
只在节点内部有意义的局部信息

Search Attributes 不是另一张数据库表，更不是把所有状态都复制一份。

4. 为什么错误摘要尤其重要

在高并发系统中，很多诊断动作本质上都是“先按错误类型聚类，再逐个深入”。
因此，保留最近错误摘要这种可检索字段极其关键。

它能帮助团队快速回答：

当前最常见的失败类型是什么
某类异常集中在哪类入口
最近失败是否与同一依赖有关

5. 检索字段应从一开始就规划

等到线上故障才补检索字段，通常意味着：

无法立即获得历史维度视图
已存在大量难检索实例
排障效率显著下降

更稳妥的做法是在流程设计阶段就问清楚：

将来要按什么查
哪些标签会成为运维和策略的高频筛选条件
哪些错误需要支持批量检索

只有这样，检索能力才不会成为事后补丁。

九、错误处理的最佳实践：不要把一切都交给默认重试

工作流框架通常自带重试能力，这很好，但对风控系统来说远远不够。
因为风控流程中的错误并不具有同一种语义。

有些错误意味着：

依赖暂时不可用，稍后可以重试

有些错误意味着：

输入本身非法，再试也没有意义

还有些错误意味着：

某个后处理动作失败，但主决策已得出，不应让全流程重复执行

因此，错误处理必须分层。

1. 初始化阶段错误

这类错误通常发生在：

上下文建立失败
输入标准化失败
基础元数据准备失败

此时最重要的是避免脏状态残留，并确保重试从干净环境开始。

2. 核心执行阶段错误

这类错误发生在真正的决策计算中。
处理重点是：

是否允许重试
是否需要局部清理
是否需要阶段级回退
是否允许失败传播到后续步骤

3. 后处理阶段错误

例如回调、审计、通知等。
这类动作如果和主决策耦合过紧，容易造成已经成功的主流程被迫重复执行。
更成熟的方式是把这类动作视为独立阶段，并给出专门处理策略。

4. 错误摘要要结构化

错误不应只沉淀在堆栈日志里。
系统至少应提炼出：

失败阶段
错误分类
错误摘要
是否可重试
最近更新时间

这样控制面、Search Attributes 和告警系统才能真正使用这些信息。

5. 清理策略不能一刀切

不同错误对应不同清理方式。
有的需要全量清理，有的只应局部回收，有的为了排障应暂时保留现场。
把清理策略设计成分层能力，比简单“失败就全部删掉”更成熟。

因此，最好的实践不是“尽量多重试”，而是：

对不同生命周期阶段、不同错误类别、不同副作用范围采用不同的处理策略。

十、超时设计：风控流程中的超时不是一个数字，而是一组边界

很多系统对超时的理解太粗糙，只设一个总超时。
在简单接口里尚可接受，在风控流程里通常不够。

因为风控流程至少同时存在三类超时边界。

1. 总流程超时

这是用户体验和整体资源占用的硬边界。
它决定一笔请求最多可占用多久系统资源。

2. 阶段级超时

不同阶段的重要性和运行特征不同。
数据抓取、模型推理、规则判断、回调落库的合理超时并不一样。
若全部使用统一时间，通常要么太宽松，要么太苛刻。

3. 节点级超时

某些外部依赖波动较大，需要更严格或更宽松的节点级超时策略。
尤其当一个步骤内部存在多节点并行时，单个节点超时设置会直接影响整步表现。

4. 超时与失败传播要配套

超时不是终点，超时后的系统动作才重要。
需要提前设计：

超时后是否重试
重试前是否清理上下文
是否允许跳过超时步骤
是否向控制面暴露专门状态

5. 超时应成为观测对象

成熟系统不会把超时只当成异常，而会持续观测：

哪类节点超时最多
哪个阶段长尾最严重
超时是否与入口流量变化相关
超时后系统的重试与背压是否联动生效

风控流程中的超时管理，本质上是时间预算管理。
如果不做分层设计，总流程很容易在高峰期陷入不可预测的长尾。

十一、版本治理与 Non-Determinism 防护

工作流框架带来的一个新挑战，是执行过程可能被重放。
这要求团队对版本变更保持比普通后端服务更高的纪律性。

1. 为什么这在风控系统里尤其重要

风控流程并非总在几秒内结束。
它可能跨越较长时间窗口，期间可能经历：

服务发布
配置变更
节点接入
路由调整

如果 Workflow 代码本身携带过多动态逻辑，发布后就容易出现不可兼容的重放问题。

2. 最稳妥的原则

把动态解析、复杂环境依赖、非确定行为尽量放到 Activity 中。
把 Workflow 保持为稳定控制骨架。

3. 发布治理要有制度

成熟团队在工作流落地时，通常需要明确：

新旧任务队列如何隔离
哪些变更可直接上线
哪些变更必须走灰度
回滚时如何处理旧执行实例

4. 运行时差异要通过配置或节点层吸收

如果每次业务变化都直接改 Workflow 路径，版本治理会非常困难。
更好的方式是把差异留在：

流程定义
注册表
Activity 适配层

这样编排骨架本身更稳定。

5. 这不是框架限制，而是架构纪律

很多团队把 Non-Determinism 理解成某个框架的使用细节。
实际上，它背后反映的是系统边界是否清晰。
边界越清晰，版本治理越容易；边界越模糊，发布风险越大。

十二、工作流查询、检索、日志、指标如何形成闭环

单一观测手段永远不够。
真正成熟的工作流风控系统，会把 Query、Search Attributes、日志和指标组合起来使用。

1. Query 负责单实例当前态

用于查看：

当前阶段
当前状态
正在执行内容
重试次数

2. Search Attributes 负责批量实例检索

用于查看：

某类入口的整体分布
某类错误的聚合情况
某标签下的实例列表

3. 日志负责过程细节

用于还原：

某个节点具体做了什么
某次调用为何失败
某笔请求经历了哪些外部交互

4. 指标负责趋势与容量

用于观测：

整体吞吐
成功率
各阶段耗时
重试率
超时率

这四者组合后，系统排障会形成自然路径：

先通过指标发现异常趋势
通过 Search Attributes 找到异常实例集合
用 Query 查看单实例当前态
用日志深入还原执行细节

如果缺少其中任何一环，排障链路都会变得笨重。

十三、工作流框架在风控中的常见反模式

要理解最佳实践，也需要明确反模式。
以下问题在风控工作流落地中尤其常见。

1. 把 Workflow 写成业务总控器

后果是控制流和业务细节完全混杂，任何调整都高风险。

2. 把大量数据直接挂在 Workflow 状态上

后果是状态膨胀、重放成本上升、可管理性下降。

3. Query 缺位

后果是只能靠日志和状态表猜当前进度。

4. Search Attributes 缺位

后果是线上实例越来越多后，批量检索和排障非常痛苦。

5. 所有副作用都不分层

后果是难以对不同动作设置不同超时、重试和告警。

6. 所有动作都用同一种 Activity 模式

后果是轻量动作性能浪费，重型动作隔离不足。

7. 默认重试一把梭

后果是把可恢复错误和不可恢复错误混为一谈，制造更多副作用。

8. 发布只考虑代码，不考虑长生命周期执行

后果是旧实例与新代码冲突，线上出现重放或兼容问题。

这些反模式共同说明一件事：
工作流框架不是引入后自然就会带来架构质量，真正决定质量的是使用边界是否克制。

十四、落地方法：如何把工作流框架真正用成风控基础设施

如果希望把工作流框架真正用成风控基础设施，而不是任务调度壳层，落地时可遵循以下顺序。

1. 先定义节点协议

把数据、特征、模型、规则节点标准化，不要急着先写复杂 Workflow。

2. 再定义上下文与状态边界

明确：

哪些状态留在 Workflow
哪些状态进入上下文系统
如何命名空间隔离

3. 再引入流程编排

先让主流程只负责阶段组织，不直接承载全部业务节点。

4. 同步设计 Query 与 Search Attributes

不要等上线后再补运行态查询与检索能力。

5. 为 Activity 分层

初始化、计划解析、节点执行、回调和清理最好分开设计。

6. 建立版本治理规范

在上线前就想清楚：

哪些改动会影响重放
如何灰度
如何回滚

7. 让控制面与回放系统直接复用这些能力

如果 Query、Search Attributes、流程骨架都设计得正确，控制面与回放系统会自然受益。

工作流框架真正的价值，不在于功能表，而在于它帮助系统建立了统一控制语义。
只有把这些语义接入周边能力，才能称为真正落地。

十五、总结：什么才算是工作流框架在风控中的成熟使用方式

成熟使用方式不是“把很多功能都用了一遍”，而是让每一项能力都落在最合适的位置。

它通常表现为：

Workflow 足够轻，只负责控制语义
Activity 足够清晰，承载外部副作用与执行逻辑
Query 提供当前态查询
Search Attributes 提供运行实例检索
中间态不滥塞流程状态，而由上下文系统承载
重试、超时和清理按生命周期分层设计
本地 Activity 与普通 Activity 按运行特征取舍
发布治理与重放兼容被正式纳入流程

从这个角度看，工作流框架在风控系统中的最佳实践，核心并不是某个 API 怎么调，而是以下这句话：

让工作流成为稳定的控制骨架，让业务执行成为可替换的数据面，让查询与检索能力从第一天就服务于长期运行。

只有在这个层次上，Workflow、Activity、Query、Search Attributes 才不是零散功能点，而会共同构成一套真正成熟的风控执行体系。