Java Spring Boot 中最稳妥的文件上传方式是使用 MultipartFile 配合 @RequestParam 或 @RequestPart,需配置大小限制、处理中文名乱码、过滤路径注入、生成唯一文件名并流式保存。
Java 上传文件在 Spring Boot 中最常用、最稳妥的方式是用 MultipartFile 接收前端传来的文件,配合 @RequestParam 或 @RequestPart 注解。核心不复杂,但细节容易出错,比如路径处理、大小限制、中文名乱码、多文件上传等。
基础单文件上传写法
前端用 提交表单(enctype="multipart/form-data"),后端用 MultipartFile 接收:
- Controller 方法参数加
@RequestParam("file") MultipartFile file,其中"file"要和 HTML 表单的name属性一致 - 检查
file.isEmpty()避免空上传 - 用
file.getOriginalFilename()获取原始文件名(注意可能含路径,需清洗) - 用
file.transferTo(new File(savePath))保存到磁盘(推荐用Files.copy(file.getInputStream(), targetPath)更安全)
配置文件大小和临时目录
Spring Boot 默认启用 multipart 支持,但需显式配置限制,否则大文件会直接报错或超时:
- 在
application.yml中加:
spring:
servlet:
multipart:
max-file-size: 10MB
max-request-size: 10MB
location: /tmp/upload-tmp # 可选,指定临时存储目录(Linux *意权限)注意:Spring Boot 2.0+ 用 spring.servlet.multipart,老版本是 spring.http.multipart,别写错。
处理中文文件名和路径安全
浏览器上传的中文文件名可能编码异常,直接用 getOriginalFilename() 可能乱码或带路径注入风险:
- 用
URLDecoder.decode(file.getOriginalFilename(), "UTF-8")解码(部分浏览器如 Chrome 发送的是 UTF-8 编码) - 用正则过滤掉路径分隔符:
filename.replaceAll("[\\\\/:*?\"|]", "_") - 保存时建议用 UUID + 原扩展名生成新文件名,避免重名和覆盖:
UUID.randomUUID() + "." + FilenameUtils.getExtension(filename)(需引入 commons-io)
多文件上传与返回结构
前端多个 或多个同名 input,后端直接接收 Li:
- 参数写成
@RequestParam("files") Listfiles - 逐个校验非空、大小、类型,再分别保存
- 建议统一返回 JSON 结构,例如:
{"code":200,"msg":"上传成功","data":[{"filename":"a.jpg","url":"/upload/a.jpg"}]}
基本上就这些。不复杂但容易忽略配置和安全性细节。用好 MultipartFile + 合理配置 + 文件名清洗 + 流式保存,就能稳稳跑起来。
