Golang如何实现文件上传与下载功能_Golang 文件上传下载实践

文件上传通过POST请求实现，使用multipart/form-data格式提交；2. 后端用r.ParseMultipartForm解析表单，获取文件句柄并保存到服务器。

在Golang中实现文件上传与下载功能并不复杂，主要依赖标准库net/http和io包。通过合理组织路由、处理请求体和响应流，可以快速构建安全高效的文件服务。

文件上传实现

文件上传通常使用HTTP的POST方法，前端通过multipart/form-data格式提交文件。后端需要解析该格式并保存文件到服务器。

关键步骤：

• 设置HTTP路由接收POST请求
• 调用r.ParseMultipartForm()解析表单数据
• 从r.MultipartForm.File获取文件句柄
• 使用os.Create创建本地文件，并通过io.Copy写入内容

示例代码：

func uploadHandler(w http.ResponseWriter, r *http.Request) {
    if r.Method != "POST" {
        http.Error(w, "仅支持POST请求", http.StatusMethodNotAllowed)
        return
    }

    // 解析 multipart 表单，最大内存 32MB
    err := r.ParseMultipartForm(32 << 20)
    if err != nil {
        http.Error(w, err.Error(), http.StatusBadRequest)
        return
    }

    file, handler, err := r.FormFile("file")
    if err != nil {
        http.Error(w, "无法获取文件", http.StatusBadRequest)
        return
    }
    defer file.Close()

    // 创建本地文件
    dst, err := os.Create("./uploads/" + handler.Filename)
    if err != nil {
        http.Error(w, "无法创建文件", http.StatusInternalServerError)
        return
    }
    defer dst.Close()

    // 复制文件内容
    _, err = io.Copy(dst, file)
    if err != nil {
        http.Error(w, "文件保存失败", http.StatusInternalServerError)
        return
    }

    fmt.Fprintf(w, "文件 %s 上传成功", handler.Filename)
}

文件下载实现

文件下载通过GET请求触发，服务端设置正确的响应头（如Content-Disposition），将文件内容写入响应体。

核心要点：

• 验证文件是否存在，防止路径遍历攻击
• 设置Content-Disposition告知浏览器下载而非打开
• 使用http.ServeFile或手动流式输出文件内容

示例代码：

func downloadHandler(w http.ResponseWriter, r *http.Request) {
    filename := r.URL.Query().Get("file")
    if filename == "" {
        http.Error(w, "缺少文件名", http.StatusBadRequest)
        return
    }

    filepath := "./uploads/" + filepath.Clean(filename)

    // 检查文件是否在允许目录内
    if !strings.HasPrefix(filepath, "./uploads/") {
        http.Error(w, "非法路径", http.StatusForbidden)
        return
    }

    if _, err := os.Stat(filepath); os.IsNotExist(err) {
        http.Error(w, "文件不存在", http.StatusNotFound)
        return
    }

    // 设置下载响应头
    w.Header().Set("Content-Disposition", "attachment; filename="+filename)
    w.Header().Set("Content-Type", "application/octet-stream")

    // 输出文件内容
    http.ServeFile(w, r, filepath)
}

安全性与优化建议

实际项目中需关注以下几点以提升稳定性和安全性：

• 限制文件大小：在ParseMultipartForm中设置合理内存上限
• 校验文件类型：通过魔数（MIME类型）判断真实格式，避免伪装扩展名
• 重命名上传文件：使用UUID或时间戳避免覆盖和路径注入
• 权限控制：结合用户认证机制，确保只有授权用户可上传/下载
• 大文件分片：对于超大文件，考虑支持断点续传和分块上传

基本上就这些。Golang的标准库已经足够支撑基础的文件传输需求，配合简单的逻辑封装即可投入生产使用。