在 Rust 2018 中 非词法生命周期 (NLL) 稳定之前,编译器强制执行严格的词法作用域以进行借用,这使得像 vec.push(vec.len()) 这样的表达式变得非法,因为 push 所需的可变借用与 len 所需的不可变借用似乎发生了冲突。社区认为这种限制过于保守,因为可变访问实际上在方法体执行之前并未被使用,创建了一个理论窗口,在这个窗口中不可变检查仍然是安全的。这导致了两阶段借用的引入,这是对借用检查器的改进,它区分可变借用的保留和实际激活。
核心挑战在于将 Rust 的别名 XOR 变异保证与人性化 API 设计结合起来,特别是当方法调用需要 &mut self 而其参数在同一对象上需要 &self 时。如果没有专门的处理,借用检查器会将其标记为违反第二个可变借用规则,迫使开发人员手动使用临时变量对操作进行排序。这个问题需要一种机制,直到实际变异点再延迟强制可变排他性,同时确保中间的不可变访问不会超出过渡的生命周期或产生悬挂引用。
两阶段借用的运作方式是在参数评估期间将方法调用中的可变借用视为“预留”,一旦评估完成并且控制进入方法体,就“激活”为完全的可变借用。在预留阶段,编译器允许有限的不可变借用(具体而言,从接收者的自动引用中派生的借用),同时跟踪挂起的可变激活。这是在 MIR(中级中间表示) 借用检查中实现的,编译器验证在预留点和激活点之间不存在冲突的使用,通过静态分析而不是运行时检测确保安全。
考虑一个负责在传输前聚合数据包的 网络缓冲区管理器。该系统需要附加一个头部,其大小依赖于当前缓冲区长度:buffer.append_header(buffer.current_len())。在这里,append_header 需要可变访问以扩展缓冲区,而 current_len 仅需要不可变检查。
开发人员可以在变异之前将长度提取到一个单独的绑定中:let len = buffer.current_len(); buffer.append_header(len);。这种方法在所有 Rust 版本上都有效,完全避免了复杂的借用检查规则。然而,它引入了冗长性,并在代码被重构以包括并发时创建一个理论上的窗口,在单线程上下文中,这纯粹是风格上的考虑。主要缺点是降低了人机工程学并且临时变量可能会超出其必要性,造成范围的混乱。
将缓冲区包装在 RefCell 中将允许通过 borrow() 和 borrow_mut() 方法在运行时进行不可变和可变借用。这通过将检查延迟到运行时,消除了编译时的冲突,可能在违反时引发 panic。虽然灵活,但这引入了引用计数和运行时验证的额外开销,违背了对高吞吐量网络代码至关重要的零成本抽象原则。此外,它将错误从编译时保证转移到潜在的运行时失败,从而降低了可靠性。
团队通过将 append_header 结构化为接受 &mut self 的方法,利用 两阶段借用,信任 NLL 借用检查器自动处理预留。这使得逻辑的自然表达无需临时变量或运行时开销。编译器验证 current_len 在可变借用激活之前完成,确保安全。此解决方案之所以被选择,是因为它保持了零成本抽象,同时提供了干净、可维护的语法,准确反映所需的数据流。
在 Rust 1.63+ 上实现编译无误,达到与手动排序代码相同的最佳性能。缓冲区管理器成功处理 10Gbps 的流量而没有分配开销,表明 两阶段借用 在不妥协 Rust 安全保证的情况下解决了人机工程学问题。代码库保持无内部可变性复杂性,从而简化了未来的内存安全审核。
两阶段借用如何与显式解引用操作和运算符重载交互?
许多候选人假设两阶段借用普遍适用于所有可变引用,但它们实际上仅限于方法调用接收器中的 autoref 情况。当通过 *vec 显式解引用或使用 IndexMut 等运算符特征时,借用检查器不会应用两阶段逻辑,立即激活可变借用。此限制的存在是因为方法自动引用提供了一个清晰的预留点(方法调用位置),编译器可以跟踪状态转换,而任意解引用操作缺乏这种语义边界。理解这一区别可以避免类似代码无法编译时的困惑。
为什么编译器禁止两阶段借用,而接收器实现了 Drop?
候选人常常忽视实现 Drop 的类型具有复杂化预留阶段的析构语义。如果在析构运行时(例如,通过 panic 或复杂控制流)存在可变预留,部分初始化的状态可能会违反 Drop 对有效自身的期望。因此,编译器限制对具有自定义析构函数的类型进行两阶段借用,除非它们是 Copy,确保可变借用的激活不会干扰析构执行。这防止了在栈展开期间可能观察到部分移动或无效状态的微妙错误。
在允许的操作方面,"预留" 阶段与 "激活" 阶段有何区别?
在 预留 阶段,编译器仅允许来自方法调用的自动引用派生的接收者不可变使用,具体允许参数的评估。然而,候选人常常错过在参数评估期间创建接收者的额外命名引用或将其传递给其他函数是被禁止的。激活 阶段恰好在控制进入方法体时开始,这时,参数评估中的所有不可变借用必须结束。这创建了一个严格的线性时间轴:预留 → 不可变参数评估 → 激活 → 方法执行。违反此序列,例如通过在超出激活点的变量中存储引用,导致编译时错误,以维护排他性保证。