Desain pipeline anti-spam dengan queue, cache, dan worker bertujuan memisahkan keputusan yang harus cepat dari pekerjaan yang boleh ditunda beberapa milidetik atau detik. Dalam praktiknya, sistem anti-spam yang baik jarang mengandalkan satu pemeriksaan sinkron saja; ia menggabungkan validasi ringan di jalur request, deduplikasi cepat di cache, lalu analisis lanjutan melalui worker asinkron.

Jika target Anda adalah backend yang tetap stabil saat trafik melonjak, pola yang paling aman biasanya adalah: terima request, lakukan pemeriksaan minimum yang murah, simpan status awal yang konsisten, kirim tugas ke queue, lalu biarkan worker menjalankan klasifikasi, enrichment, atau moderasi lanjutan. Pendekatan ini tidak menghilangkan false positive atau spam sepenuhnya, tetapi membuat sistem lebih tahan beban, lebih mudah dioperasikan, dan lebih aman dari retry atau duplicate submit.

Konteks inspirasi dari sistem besar seperti anti-spam di platform diskusi berguna untuk memahami pola internals, tetapi desain di bawah ini sengaja difokuskan pada teknik yang dapat diterapkan secara umum pada backend modern.

Mengapa anti-spam tidak sebaiknya sepenuhnya sinkron

Godaan awal biasanya sederhana: saat komentar atau form masuk, panggil semua rule, cek reputasi user, cek pola teks, cek alamat IP, lalu langsung putuskan. Pendekatan ini terlihat bersih, tetapi cepat bermasalah ketika:

  • latensi request membengkak karena terlalu banyak pemeriksaan,
  • layanan eksternal lambat atau timeout,
  • trafik melonjak dan thread aplikasi habis menunggu I/O,
  • retry dari client menghasilkan data ganda,
  • aturan anti-spam berkembang menjadi puluhan kondisi yang sulit dipelihara.

Karena itu, pisahkan jalur menjadi dua:

  1. Jalur sinkron untuk keputusan murah dan harus segera diketahui client.
  2. Jalur asinkron untuk pemeriksaan berat, model skor, enrichment, dan moderasi tertunda.

Contoh pembagian tugas sync vs async

Untuk endpoint submit komentar:

  • Sinkron: validasi payload, autentikasi, rate limit dasar, ukuran konten, blacklist kasar, deduplikasi cepat, simpan komentar dengan status awal.
  • Asinkron: analisis pola konten, reputasi historis, korelasi antar akun/IP, scoring lebih mahal, notifikasi moderator, atau auto-hide.

Dengan pola ini, API tetap responsif walau worker sedang sibuk. Client juga mendapat hasil yang deterministik, misalnya: accepted, held for review, atau rejected.

Arsitektur dasar pipeline anti-spam

Arsitektur praktis yang umum dipakai:

  1. API menerima submit komentar atau form.
  2. API membuat idempotency key dan mengecek deduplikasi di cache.
  3. API menjalankan rule murah: rate limit, payload sanity check, blacklist sederhana.
  4. Jika lolos, data ditulis ke database dengan status awal, misalnya pending_scan atau visible tergantung toleransi risiko.
  5. API mengirim job ke queue untuk pemeriksaan lanjutan.
  6. Worker mengambil job, menjalankan rule berat, lalu memperbarui status menjadi visible, shadow_hidden, flagged, atau rejected.
  7. Event lanjutan dapat diterbitkan untuk notifikasi, audit trail, atau dashboard moderasi.

State yang jelas lebih penting daripada rule yang banyak

Banyak masalah produksi muncul bukan karena rule anti-spamnya kurang pintar, tetapi karena status datanya ambigu. Gunakan state yang eksplisit, misalnya:

  • received
  • pending_scan
  • visible
  • held_for_review
  • rejected
  • deleted

State machine sederhana membantu menjaga konsistensi ketika job diproses ulang, worker crash, atau moderator bertindak manual.

Contoh alur moderasi komentar atau form submit

Alur request sinkron

Misalkan pengguna mengirim komentar. API dapat melakukan langkah berikut:

  1. Validasi struktur request dan ukuran konten.
  2. Hitung fingerprint sederhana dari konten, user, dan konteks.
  3. Cek idempotency key untuk mencegah duplicate submit.
  4. Cek rate limit per user/IP/per route.
  5. Cek cache dedup untuk payload yang sama dalam jendela waktu pendek.
  6. Simpan komentar ke database dengan status pending_scan.
  7. Enqueue job ScanCommentForSpam.
  8. Balas ke client dengan status diterima, dan bila perlu tandai bahwa komentar menunggu moderasi.

Pola ini menjaga UX tetap baik: client tidak menunggu seluruh pemeriksaan selesai. Pada saat yang sama, sistem memiliki satu sumber kebenaran di database.

Alur worker asinkron

Worker kemudian memproses job:

  1. Ambil data komentar berdasarkan ID.
  2. Pastikan status masih valid untuk diproses.
  3. Jalankan rule berat atau panggil layanan klasifikasi.
  4. Simpan hasil scan dan alasan keputusan.
  5. Perbarui status akhir secara atomik bila state sebelumnya masih cocok.
  6. Publikasikan event audit atau moderasi bila perlu.

Langkah “perbarui status akhir secara atomik bila state sebelumnya masih cocok” penting agar hasil job lama tidak menimpa keputusan yang lebih baru, misalnya moderator sudah mengizinkan komentar secara manual.

Dedup berbasis cache dan idempotency key

Dua konsep ini sering tercampur, padahal tujuan mereka berbeda:

  • Idempotency key mencegah satu aksi client diproses berulang akibat retry.
  • Dedup berbasis cache mendeteksi submit yang sangat mirip atau identik dalam jendela waktu tertentu, walau request-nya bukan retry resmi.

Idempotency key untuk retry yang aman

Untuk operasi submit, client dapat mengirim header atau field seperti Idempotency-Key. Backend menyimpan hasil proses pertama untuk key tersebut. Jika request yang sama datang lagi, backend mengembalikan hasil yang sama, bukan membuat komentar kedua.

Hal yang perlu dijaga:

  • key harus terkait dengan scope yang tepat, misalnya per user dan per endpoint,
  • payload yang berbeda dengan key yang sama harus ditolak atau ditandai konflik,
  • TTL idempotency store harus cukup lama untuk menutupi retry realistis.
// pseudocode handler submit komentar
function submitComment(request) {
  userId = request.auth.userId
  key = request.headers["Idempotency-Key"]
  payloadHash = hash(normalize(request.body.text))

  existing = idempotencyStore.get(userId + ":" + key)
  if (existing) {
    if (existing.payloadHash != payloadHash) {
      return conflict("Idempotency key dipakai untuk payload berbeda")
    }
    return existing.response
  }

  // proses ringan
  enforceRateLimit(userId, request.ip)

  commentId = db.insert("comments", {
    user_id: userId,
    text: request.body.text,
    status: "pending_scan"
  })

  queue.publish("scan-comment", { commentId: commentId })

  response = accepted({ id: commentId, status: "pending_scan" })
  idempotencyStore.put(userId + ":" + key, {
    payloadHash: payloadHash,
    response: response
  }, ttl=3600)

  return response
}

Dedup berbasis cache untuk spam burst

Dedup cache berguna saat spammer mengirim konten sama berkali-kali dalam waktu singkat. Buat fingerprint dari konten yang sudah dinormalisasi, lalu simpan di cache dengan TTL pendek. Jika fingerprint muncul terlalu sering, request dapat di-hold atau ditolak.

Normalisasi biasanya meliputi:

  • lowercase,
  • hapus spasi berlebih,
  • hapus karakter pemisah yang tidak relevan,
  • opsional: buang URL tracking atau token acak yang tidak bermakna.

Hati-hati agar normalisasi tidak terlalu agresif. Jika terlalu banyak informasi dibuang, komentar sah yang mirip dapat dianggap duplikat.

// pseudocode dedup burst
normalized = normalize(text)
fingerprint = hash(userId + ":" + normalized)
count = cache.increment("dedup:" + fingerprint, ttl=60)

if (count > 3) {
  // tahan untuk review, jangan selalu hard reject
  markAsHeldForReview()
}

Kapan perlu distributed lock, dan kapan tidak

Distributed lock sering dipakai berlebihan. Untuk anti-spam, lock hanya diperlukan jika benar-benar ada risiko banyak worker atau request memproses entitas yang sama dan menghasilkan konflik yang tidak bisa diatasi dengan operasi atomik atau kondisi pada query.

Kasus yang layak memakai lock

  • Satu komentar hanya boleh dipindai oleh satu worker aktif dalam satu waktu.
  • Proses agregasi reputasi user sensitif terhadap update paralel.
  • Ada transisi state yang harus eksklusif lintas node.

Kasus yang sebaiknya cukup dengan compare-and-set

  • Update status hanya jika state lama masih pending_scan.
  • Insert idempotency record dengan unique key.
  • Counter rate limit memakai operasi increment atomik di cache.

Jika lock dipakai, pastikan:

  • ada TTL agar lock tidak menggantung saat proses crash,
  • nilai lock punya token unik agar hanya pemilik lock yang boleh melepasnya,
  • sistem tetap aman bila lock hilang lebih cepat dari perkiraan.

Aturan praktis: jika bisa diselesaikan dengan operasi atomik pada satu record atau satu key, pilih itu dulu. Lock terdistribusi menambah kompleksitas operasional dan sumber kegagalan baru.

Retry yang aman, poison job, dan backpressure

Retry yang aman harus idempoten

Worker anti-spam hampir pasti akan menghadapi timeout, crash, atau kegagalan sementara. Karena itu job harus aman jika dijalankan lebih dari sekali. Beberapa teknik yang umum:

  • cek apakah hasil scan final sudah ada sebelum memproses ulang,
  • simpan processed_at atau versi keputusan,
  • gunakan update bersyarat berdasarkan state sebelumnya,
  • hindari side effect ganda seperti mengirim notifikasi berulang tanpa dedup.
// pseudocode worker idempoten
function processScanJob(commentId) {
  comment = db.find(commentId)
  if (!comment) return ack()

  if (comment.status in ["visible", "rejected", "held_for_review"]) {
    return ack()
  }

  result = spamEngine.scan(comment)

  db.updateWhere(
    table="comments",
    where={ id: commentId, status: "pending_scan" },
    values={
      status: mapResult(result),
      spam_score: result.score,
      moderation_reason: result.reason
    }
  )

  return ack()
}

Poison job

Poison job adalah job yang akan gagal terus walau di-retry, misalnya karena payload korup, bug parser, atau asumsi data yang salah. Jika tidak ditangani, poison job bisa memenuhi antrean dan mengganggu job sehat.

Mitigasinya:

  • batasi jumlah retry,
  • pisahkan kegagalan sementara dan permanen,
  • kirim job bermasalah ke dead-letter queue,
  • simpan payload dan error yang cukup untuk investigasi,
  • buat runbook untuk replay setelah perbaikan.

Backpressure saat trafik melonjak

Queue membantu menyerap lonjakan, tetapi queue bukan kapasitas tak terbatas. Anda tetap perlu strategi backpressure:

  • batasi concurrency worker agar database dan layanan eksternal tidak jebol,
  • prioritaskan job kritis dibanding enrichment sekunder,
  • terapkan batas panjang queue atau umur job,
  • degradasi fitur: misalnya hanya rule inti saat sistem sibuk,
  • ubah respons sinkron menjadi held_for_review lebih sering saat sinyal overload muncul.

Backpressure yang baik membuat sistem menurun secara terkontrol, bukan runtuh total.

Rate limit sebagai lapisan pertama, bukan satu-satunya pertahanan

Rate limit murah dan efektif, terutama di jalur sinkron. Namun ia tidak cukup jika spammer menyebar trafik melalui banyak akun atau IP. Karena itu, gabungkan beberapa dimensi:

  • per IP,
  • per akun,
  • per fingerprint device atau session bila tersedia,
  • per route atau jenis aksi,
  • per target, misalnya banyak komentar ke thread yang sama.

Rate limit juga sebaiknya tidak selalu menghasilkan hard reject. Untuk beberapa kasus, lebih aman menurunkan prioritas, menahan untuk review, atau menambahkan tantangan verifikasi.

Trade-off Redis vs database untuk anti-spam

Kapan Redis lebih cocok

Redis atau cache in-memory sejenis cocok untuk data yang:

  • butuh akses sangat cepat,
  • berumur pendek,
  • boleh hilang sebagian tanpa merusak sumber kebenaran,
  • berbentuk counter, TTL, dedup key, atau lock sementara.

Contoh penggunaan:

  • rate limiting,
  • dedup burst fingerprint,
  • idempotency response cache sementara,
  • distributed lock dengan TTL,
  • queue jika kebutuhan Anda sederhana dan operasionalnya cocok.

Kapan database lebih cocok

Database relasional atau document store lebih tepat untuk data yang:

  • harus persisten dan dapat diaudit,
  • memiliki relasi bisnis penting,
  • butuh query investigasi,
  • menjadi sumber kebenaran keputusan moderasi.

Contoh penggunaan:

  • komentar atau form submission final,
  • riwayat keputusan moderasi,
  • hasil scan, score, dan alasan,
  • event audit dan review moderator.

Trade-off praktis

  • Redis cepat untuk TTL dan counter, tetapi bukan tempat ideal untuk audit jangka panjang.
  • Database kuat untuk konsistensi dan histori, tetapi kurang efisien jika dipakai untuk counter burst berfrekuensi tinggi.
  • Jika semua dedup dan rate limit dipindah ke database, Anda berisiko menambah contention pada tabel panas.
  • Jika terlalu banyak logika penting hanya hidup di cache, kehilangan cache dapat mengubah perilaku sistem secara drastis.

Pola umum yang sehat adalah: cache untuk keputusan cepat sementara, database untuk state final dan histori.

Menangani false positive dan aturan konsistensi

Anti-spam yang agresif akan menurunkan spam, tetapi juga bisa merusak pengalaman pengguna sah. Karena itu, desainlah sistem untuk mengelola false positive, bukan menganggapnya tidak akan terjadi.

Teknik mengurangi false positive

  • gunakan beberapa sinyal, jangan hanya satu aturan teks,
  • bedakan user baru dan user bereputasi baik,
  • simpan alasan keputusan agar moderator bisa meninjau,
  • gunakan state held_for_review untuk kasus abu-abu,
  • hindari hard reject jika skor belum meyakinkan.

Aturan konsistensi yang perlu eksplisit

Tanpa aturan konsistensi, sistem anti-spam mudah menghasilkan kondisi aneh. Contoh aturan yang sebaiknya ditetapkan:

  • keputusan moderator manual selalu mengalahkan hasil worker otomatis,
  • job lama tidak boleh menimpa state yang sudah berubah,
  • satu submit client hanya boleh membuat satu entitas bisnis,
  • transisi dari rejected ke visible harus tercatat di audit log,
  • hasil scan harus terkait versi rule atau model bila Anda ingin analisis historis.

Aturan-aturan ini sering lebih penting daripada pemilihan tool tertentu.

Observabilitas operasional: apa yang harus dipantau

Pipeline anti-spam sering terlihat sehat sampai ada antrean menumpuk, worker macet, atau keputusan moderasi tiba-tiba memburuk. Karena itu observabilitas harus dirancang sejak awal.

Metrics minimum

  • request rate per endpoint submit,
  • latensi jalur sinkron,
  • panjang queue dan usia job tertua,
  • throughput worker,
  • retry rate dan dead-letter rate,
  • rasio visible, held_for_review, dan rejected,
  • error rate layanan eksternal,
  • hit/miss rate cache untuk dedup dan idempotency.

Logging yang berguna

Jangan hanya log error stack trace. Log yang berguna untuk anti-spam biasanya mencakup:

  • request ID dan idempotency key,
  • comment ID atau submission ID,
  • fingerprint yang dipakai untuk dedup,
  • rule atau sinyal yang memicu keputusan,
  • alasan retry atau dead-letter,
  • durasi tiap tahap scan.

Tracing dan korelasi

Jika stack Anda mendukung tracing, hubungkan span dari request masuk, enqueue job, proses worker, update database, dan notifikasi moderator. Ini sangat membantu saat ada keluhan seperti “komentar saya hilang” padahal sebenarnya statusnya berubah beberapa kali karena race condition.

Kesalahan produksi yang paling sering muncul

  • Tidak ada idempotency: retry dari client membuat komentar ganda.
  • Status ambigu: tidak jelas apakah komentar sudah diproses atau belum.
  • Worker tidak idempoten: retry mengirim notifikasi atau update berkali-kali.
  • Semua dikerjakan sinkron: latensi naik tajam saat rule bertambah.
  • Lock dipakai berlebihan: throughput turun, debugging makin sulit.
  • Retry tanpa batas: poison job menyumbat queue.
  • Rate limit terlalu kasar: user sah ikut terblokir.
  • Terlalu bergantung pada cache: saat cache flush, perilaku sistem berubah drastis.
  • Tidak ada audit trail: sulit membedakan keputusan otomatis dan manual.
  • Tidak memonitor queue age: antrean terlihat ada, tetapi keputusan moderasi terlambat jauh dari ekspektasi.

Checklist desain sebelum masuk produksi

  1. Apakah endpoint submit sudah mendukung idempotency key?
  2. Apakah dedup cache punya TTL dan fingerprint yang masuk akal?
  3. Apakah status entitas jelas dan transisinya terdokumentasi?
  4. Apakah worker aman jika job diproses lebih dari sekali?
  5. Apakah retry dibedakan antara error sementara dan permanen?
  6. Apakah poison job masuk dead-letter queue?
  7. Apakah ada backpressure saat queue atau dependency overload?
  8. Apakah keputusan moderator manual menang atas keputusan otomatis?
  9. Apakah metrik queue length, queue age, retry rate, dan false positive dipantau?
  10. Apakah ada prosedur replay job dan investigasi insiden?

Penutup

Pipeline anti-spam yang tahan lonjakan trafik bukan soal menumpuk rule sebanyak mungkin, melainkan soal memisahkan jalur kerja dengan benar, menjaga konsistensi state, dan memastikan sistem tetap aman di bawah retry, duplikasi, dan kegagalan parsial. Kombinasi queue, cache, worker, locking seperlunya, serta aturan konsistensi yang tegas biasanya memberi fondasi yang lebih kuat daripada pendekatan sinkron penuh.

Jika Anda merancang moderasi komentar atau form submit, mulailah dari alur sederhana: pemeriksaan sinkron yang murah, penyimpanan state final di database, dedup dan rate limit di cache, lalu worker idempoten untuk scan lanjutan. Setelah itu, investasikan waktu pada observabilitas dan penanganan kegagalan. Di sistem anti-spam, kualitas operasional sering sama pentingnya dengan kualitas rule.