首先实现文件上传,前端用multipart/form-data提交,后端通过MultipartFile接收并校验文件,生成唯一名称保存至指定目录,并将元信息存入数据库;接着实现下载功能,根据文件ID查找路径,校验权限后设置Content-Disposition响应头,以流形式返回文件触发下载;最后提出安全优化建议:限制文件大小、校验类型、存放非Web目录、支持断点续传、集成OSS存储及添加访问控制。
在Java开发中,文件上传与下载是常见的需求,尤其是在实现文件管理模块时。这类功能广泛应用于内容管理系统、电商平台、OA系统等场景。下面结合实际开发经验,介绍如何使用Spring Boot框架高效实现文件的上传与下载。
文件上传实现
文件上传的核心是接收前端传来的文件流,并将其保存到服务器或云存储中。Spring Boot通过MultipartFile接口简化了这一过程。
关键步骤如下:
- 前端使用
multipart/form-data编码格式提交表单,包含文件字段 -
后端Controller方法使用
@RequestParam("file") MultipartFile file接收文件 - 校验文件类型、大小等安全参数,避免恶意上传
- 生成唯一文件名(如使用UUID)防止覆盖
- 将文件写入指定目录,可使用
file.transferTo(new File(uploadPath)) - 记录文件元信息(原始名、路径、大小、上传时间)到数据库
例如:
立即学习“Java免费学习笔记(深入)”;
@PostMapping("/upload")
public String upload(@RequestParam("file") MultipartFile file) {
if (file.isEmpty()) return "上传失败:文件为空";
String fileName = UUID.randomUUID() + "_" + file.getOriginalFilename();
Path path = Paths.get(uploadDir, fileName);
file.transferTo(path);
fileRepository.save(new FileInfo(fileName, file.getOriginalFilename(), ...));
return "上传成功";
}
文件下载实现
文件下载需要将服务器上的文件以流的形式返回给客户端,并设置正确的响应头,触发浏览器下载行为。
实现要点包括:
- 通过文件ID或名称查找文件存储路径
- 检查文件是否存在及访问权限
- 设置响应头:
Content-Disposition: attachment; filename="xxx" - 设置
Content-Type为application/octet-stream或具体MIME类型 - 使用
ServletOutputStream将文件流写入响应
示例代码:
@GetMapping("/download/{id}")
public void download(@PathVariable Long id, HttpServletResponse response) {
FileInfo info = fileRepository.findById(id);
Path filePath = Paths.get(uploadDir, info.getStoredName());
if (Files.exists(filePath)) {
response.setContentType("application/octet-stream");
response.setHeader("Content-Disposition", "attachment; filename=\"" +
URLEncoder.encode(info.getOriginalName(), "UTF-8") + "\"");
Files.copy(filePath, response.getOutputStream());
response.flushBuffer();
}
}
安全与优化建议
在生产环境中,需关注以下几点:
- 限制上传文件大小(通过
spring.servlet.multipart.max-file-size配置) - 校验文件扩展名和真实MIME类型,防止伪装脚本上传
- 敏感文件应存放在Web根目录之外,避免直接URL访问
- 大文件下载支持断点续传(处理
Range请求头) - 考虑集成OSS(如阿里云、AWS S3)实现分布式存储
- 添加文件访问日志和权限控制逻辑
