FFI、ABI 与跨语言边界设计
研究目标
- 理解 FFI 不只是语法互调,还包含 ABI、所有权和错误边界。
- 掌握 Rust 与 C 交互时的基础表示和安全约束。
- 学会设计清晰的跨语言 API 边界。
FFI 与 ABI
FFI 是 foreign function interface,指不同语言之间互相调用。ABI 是 application binary interface,描述函数调用约定、参数传递、返回值、符号命名、类型布局等底层规则。
Rust 与 C 交互时,常使用外部块声明 C 函数。下面示例使用 Rust 2024 兼容写法:
unsafeextern"C"{fnabs(input:i32)->i32;}extern "C"表示使用 C ABI,unsafe extern表示声明者必须保证外部函数签名正确。调用外部函数是不安全的,因为 Rust 编译器无法验证外部代码是否满足声明。
fnmain(){letvalue=unsafe{abs(-3)};println!("{value}");}导出 Rust 函数给 C
Rust 函数默认符号名会被改编。要导出稳定符号,可以使用:
#[unsafe(no_mangle)]pubextern"C"fnadd(a:i32,b:i32)->i32{a+b}#[unsafe(no_mangle)]保留函数名,extern "C"使用 C 调用约定。在 Rust 2024 中,no_mangle属于 unsafe attribute,因为导出未改编符号可能和其他符号冲突。
通常还需要在Cargo.toml配置库类型:
[lib] crate-type = ["cdylib", "staticlib"]cdylib用于生成动态库,staticlib用于静态链接。
FFI 安全类型
跨 FFI 边界应使用 C 兼容类型:
i32、u32、usize等基础整数需注意平台宽度。#[repr(C)]结构体。- 裸指针
*const T、*mut T。 - C 字符串指针
*const c_char。
不要直接在 C ABI 中暴露String、Vec<T>、trait object、闭包、普通 Rust enum 等 Rust 专有布局类型。
#[repr(C)]pubstructPoint{pubx:i32,puby:i32,}#[unsafe(no_mangle)]pubextern"C"fndistance_squared(point:Point)->i32{point.x*point.x+point.y*point.y}字符串边界
C 字符串通常是以\0结尾的字节序列。Rust 的String是 UTF-8、拥有所有权且包含长度和容量。两者不能直接等同。
从 C 接收字符串:
usestd::ffi::CStr;usestd::os::raw::c_char;pubunsafefnread_name(ptr:*constc_char)->Option<String>{ifptr.is_null(){returnNone;}letc_str=unsafe{CStr::from_ptr(ptr)};Some(c_str.to_string_lossy().into_owned())}这里 unsafe 前提包括:指针非空、指向有效 NUL 结尾字符串、内存在调用期间有效。
把 Rust 字符串传给 C 时可使用CString,它保证内部没有 NUL 字节并添加结尾 NUL。
所有权边界
跨语言边界最容易出错的是谁分配、谁释放。
一种常见设计是成对提供创建和释放函数:
usestd::ffi::CString;usestd::os::raw::c_char;#[unsafe(no_mangle)]pubextern"C"fnmake_message()->*mutc_char{CString::new("hello").unwrap().into_raw()}#[unsafe(no_mangle)]pubunsafeextern"C"fnfree_message(ptr:*mutc_char){if!ptr.is_null(){let_=unsafe{CString::from_raw(ptr)};}}into_raw把所有权交给调用方,调用方必须把指针传回free_message。不能用 C 的free释放 Rust 分配的内存。
不要跨 FFI unwind
Rust panic 不应跨越不支持 unwind 的 FFI 边界。C++ 异常也不应随意穿过 Rust 栈帧。跨语言边界应把错误转成显式返回值。
常见 C 风格 API:
#[repr(C)]pubenumStatus{Ok=0,InvalidInput=1,InternalError=2,}#[unsafe(no_mangle)]pubextern"C"fndo_work(input:i32,output:*muti32)->Status{ifoutput.is_null(){returnStatus::InvalidInput;}unsafe{*output=input*2;}Status::Ok}通过状态码和输出参数表达失败,调用者不需要理解 Rust 的Result。
opaque pointer 模式
复杂 Rust 类型可以通过不透明指针暴露:
pubstructEngine{count:usize,}#[unsafe(no_mangle)]pubextern"C"fnengine_new()->*mutEngine{Box::into_raw(Box::new(Engine{count:0}))}#[unsafe(no_mangle)]pubunsafeextern"C"fnengine_increment(engine:*mutEngine){ifletSome(engine)=unsafe{engine.as_mut()}{engine.count+=1;}}#[unsafe(no_mangle)]pubunsafeextern"C"fnengine_free(engine:*mutEngine){if!engine.is_null(){let_=unsafe{Box::from_raw(engine)};}}C 侧只持有Engine*,不知道内部布局。Rust 保留实现细节和内存管理能力。
bindgen 与 cbindgen
工具可以减少手写绑定:
bindgen:根据 C 头文件生成 Rust FFI 绑定。cbindgen:根据 Rust 代码生成 C/C++ 头文件。
工具能减少机械错误,但不能自动解决所有权、线程安全、错误模型和生命周期设计。边界设计仍然需要人工审查。
跨语言 API 设计建议
- 使用小而稳定的 C ABI 表面。
- 不暴露 Rust 专有类型。
- 明确每个指针是否可空、是否拥有所有权、是否可变。
- 提供成对释放函数。
- 不让 panic 或异常跨边界。
- 把错误转成状态码或显式错误对象。
- 对 unsafe 函数写清 safety contract。
常见误解
extern "C"只解决调用约定,unsafe extern也不自动保证内存安全。#[repr(C)]只影响布局,不验证字段语义安全。- 指针非空不代表有效,也不代表对齐正确。
- 跨语言边界不要共享隐含所有权协议。
继续研究
- Rustonomicon:FFI、repr、ownership across FFI。
- Rust Reference:external blocks、ABI、type layout。
- bindgen 和 cbindgen 文档。
- C ABI、平台 calling convention 和动态链接文档。
后记
2026年6月11日15点30分于上海。
