解读

在国内 Rust 岗位面试中，FFI（Foreign Function Interface）是区分“只会写业务”与“能落地系统层”的分水岭题型。面试官抛出 #[repr(C)]，往往想验证三点：

1. 是否理解 Rust 内存布局与 C 的差异；
2. 能否在跨语言调用链中保证 ABI 稳定；
3. 是否具备排查段错误、未定义行为的实战经验。
   回答时务必结合Linux x86_64 主流调用约定（System V AMD64）与Windows MSVC差异，体现“能上线、能定位、能复盘”的工程素养。

知识点

1. 内存布局可控性：#[repr(C)] 强制 Rust 按 C 规则排列字段，禁用 Rust 的字段重排优化，保证结构体 offset 与 C 头文件一致。
2. ABI 边界：只有标量（scalar）与 #[repr(C)] 复合类型才能安全穿过 FFI 边界；Rust 的 String、Vec、Box 等智能指针不可直接暴露。
3. 透明包装：#[repr(transparent)] 可在单字段包装体上零成本传递，常用于封装 newtype 而不破坏 ABI。
4. 可空性陷阱：Option<Box<T>> 与 *mut T 的布局契约不同，必须使用 Option<NonNull<T>> 或 raw pointer 显式转换。
5. panic=abort：国内生产环境普遍要求编译时设置 panic=abort，防止 Rust panic 跨 FFI 回卷导致 C 端堆栈失衡。
6. 链接与符号：动态库场景需关注 #[no_mangle] + extern "C" 防止 Rust 符号哈希；Linux 下常用 -C link-arg=-Wl,--version-script 精确导出符号，避免暴露多余函数。
7. 并发与线程安全：Rust 端若持有 Arc<Mutex<T>> 跨 FFI 传递指针，必须在文档中明确线程归属与锁协议，否则 C 端二次加锁会触发 UB。
8. Valgrind/ASan 实战：国内面试官常追问“如何定位泄漏”，需答出 cargo-valgrind、-Z sanitizer=address 与 dlopen 场景下 ASan 路径劫持的排查套路。

答案

1. 结构体必须加 #[repr(C)]，字段顺序与 C 头文件保持字节级一致；若存在 packed 或 align(n)，需在 Rust 与 C 两侧同步标注，防止未对齐访问触发 SIGBUS。
2. 所有对外函数标记 extern "C" + #[no_mangle]，返回类型只能是原始指针、标量或 #[repr(C)] 结构体；禁止直接返回 String、Vec，改为返回 CString::into_raw() 并在文档中给出配套释放函数，命名惯例为 xxx_release(ptr)。
3. 指针所有权文档化：Rust 端创建堆内存后，必须在接口注释写明调用方或提供方谁负责 free；推荐提供 Box::from_raw 对称释放，防止 C 端误用 free() 造成分配器不匹配。
4. 枚举穿越 FFI 时，若 C 端为整数常量，Rust 侧使用 #[repr(C)] enum Foo: u32；若 C 端为 tagged union，需用 #[repr(C)] union + 手动 tag 字段 模拟，禁止直接传递 Rust 原生 enum。
5. 工具链加固：
   • Cargo.toml 设置 panic = "abort"；
   • CI 阶段跑 cargo test --release 并链接 clang -fsanitize=address 做动态检查；
   • 发布动态库时，提供 .h 头文件 + .pc pkg-config 方便国内基于 yum/apt 的集成环境快速验证。
6. 平台差异：Windows 下注意 __stdcall 与 extern "system" 的区分；ARM64 安卓需验证 jvalue 对齐与 JNI_OnLoad 中的 Rust 符号可见性，防止ProGuard 误裁剪。
7. 日志与可观测：在 FFI 边界加 tracing::trace! 记录指针值与线程 ID，线上崩溃时可通过core dump + addr2line 直接定位到 Rust 行号，降低 MTTR。

拓展思考

1. async Rust 跨越 FFI：如果未来需要把 tokio::runtime::Runtime 封装成 C 可调用的 async runtime，需将 Runtime 指针通过 Box::into_raw 暴露，并在 C 侧提供 poll 风格的回调，禁止直接 await；此时还需考虑 tokio 线程池与 C 端调用线程的亲和性，避免上下文切换雪崩。
2. SIMD 与 repr(C)：国内高性能场景（如量化交易）会把 __m256i 嵌入结构体，Rust 侧需使用 #[repr(C, align(32))] 与 std::arch::x86_64::_mm256_load_si256 对齐加载；此时必须验证gcc 与 rustc 对 alignas 的共识，防止 32 字节对齐失败导致跨页加载崩溃。
3. 安全证明：在车载或金融支付领域，可进一步使用 cbindgen + formal verification 工具链，自动生成头文件并与 Frama-C 做契约对比，实现Rust 与 C 的双向 ABI 形式化验证，满足国内监管对“源代码级可追溯”的合规要求。