必须先调用 r.ParseMultipartForm(32 << 20) 设置 MaxMemory,再通过 r.MultipartReader() 或 r.FormFile() 安全读取文件,避免直接读 r.Body 导致 OOM panic。
用 net/http 启一个能收文件的 POST 接口
Go 做对象存储前端,第一关不是存文件,是别在解析请求时 panic。常见错误是直接读 r.Body 而没调用 r.ParseMultipartForm 或忽略 MaxMemory 限制,结果大文件直接 OOM。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 必须先调用
r.ParseMultipartForm(32 (比如设 32MB 内存上限),否则 <code>r.MultipartReader()可能返回 nil - 用
r.FormFile("file")拿文件句柄,别自己从r.Body读 —— multipart 场景下它已被消耗 - 路径名别直接拼接用户传的
filename,至少做一次filepath.Base()过滤,防../../etc/passwd
示例片段:
func uploadHandler(w http.ResponseWriter, r *http.Request) {
if r.Method != "POST" {
http.Error(w, "Method not allowed", http.StatusMethodNotAllowed)
return
}
err := r.ParseMultipartForm(32 << 20)
if err != nil {
http.Error(w, "Parse form failed", http.StatusBadRequest)
return
}
file, header, err := r.FormFile("file")
if err != nil {
http.Error(w, "No file received", http.StatusBadRequest)
return
}
defer file.Close()
dst, _ := os.Create("/tmp/" + filepath.Base(header.Filename))
io.Copy(dst, file)
dst.Close()
}
生成带签名的临时下载 URL(不用第三方 SDK)
对象存储前端常要返回可限时访问的链接,但很多人误以为得集成 AWS SDK 才能签 S3 URL —— 其实 Go 标准库 crypto/hmac 加几行就能搞定,关键是签名逻辑和参数顺序不能错。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 签名字符串格式必须是
HTTP_METHOD\n\n\nEXPIRE_UNIXTIME\n/BUCKET/KEY(注意空行和换行符 LF) - 密钥用
hmac.New(sha256.New, []byte(secret)),别用 md5;过期时间用time.Now().Add(1 * time.Hour).Unix() - URL 中的
Expires参数是 Unix 时间戳,不是 duration;Signature要 base64.StdEncoding.EncodeToString() 后再 URL-safe 编码(替换+和/)
示例关键行:
expires := time.Now().Add(1 * time.Hour).Unix()
toSign := fmt.Sprintf("GET\n\n\n%d\n/%s/%s", expires, bucket, key)
h := hmac.New(sha256.New, []byte(secret))
h.Write([]byte(toSign))
sig := base64.StdEncoding.EncodeToString(h.Sum(nil))
sig = strings.ReplaceAll(sig, "+", "-")
sig = strings.ReplaceAll(sig, "/", "_")
url := fmt.Sprintf("https://yourdomain.com/%s/%s?Expires=%d&Signature=%s", bucket, key, expires, sig)
处理并发上传时的文件覆盖与冲突
前端不做任何校验就直写磁盘,两个同名请求可能互相覆盖,或者一个正在写、另一个就读出半截文件。这不是“加锁”就能解决的事,得看场景选策略。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 如果业务允许,上传前用
os.Stat检查目标路径是否存在,存在则返回409 Conflict,由客户端重试并加 UUID 后缀 - 如果必须支持同名覆盖,写入时先写到临时路径(如
/tmp/upload_abc123),os.Rename原子替换目标路径 —— 注意os.Rename在同文件系统才原子 - 别用
os.Create直接打开目标文件:它默认是O_TRUNC,一打开就清空,此时若另一协程正读该文件,会读到空内容
为什么别把 MinIO 客户端直接暴露给前端调用
有人图省事,在 Go 后端里初始化 minio.Client,然后把它的 PutObject 方法包装成 HTTP 接口,让前端直传 —— 这等于把后端当代理,吞吐瓶颈、连接管理、鉴权粒度全崩了。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 真正该暴露的是「预签名上传 URL」:后端调
client.PresignedPutObject生成带权限、时效、限制的 URL,前端用fetch直传到 MinIO,不经过你的 Go 进程 - 如果你硬要用 Go 当中转,务必限制单请求最大上传大小(
http.MaxBytesReader)、设置超时(http.Server.ReadTimeout),并关闭Keep-Alive防连接堆积 - MinIO 的
PresignedPutObject返回的 URL 默认只接受 PUT,前端必须用method: "PUT",且 body 必须是原始二进制流(body: fileArrayBuffer),不是 FormData
最易被忽略的一点:所有路径拼接、文件名提取、URL 签名里的换行符和编码,都得严格对齐服务端约定。差一个 \n 或一个未转义的 =,签名就失效,而且错误信息往往只报 “SignatureDoesNotMatch”,不会告诉你哪错了。
