Golang实现文件下载需根据场景选择方法:小文件用http.ServeFile,大文件采用分块流式传输,支持断点续传可使用http.ServeContent。同时需注意路径穿越防护、速率限制、超时控制和日志记录等安全与性能优化措施,以确保服务稳定与安全。
实现文件下载功能在Golang中非常常见,尤其在构建Web服务时需要提供静态资源、用户上传内容或远程文件的下载。下面介绍如何用Golang实现基本的文件下载功能,并进行性能与安全方面的处理和优化。
基础文件下载实现
最简单的文件下载方式是通过 net/http 包将本地文件以HTTP响应的形式发送给客户端。
使用 http.ServeFile 可快速实现:
func downloadHandler(w http.ResponseWriter, r *http.Request) {
filepath := "./uploads/example.pdf" // 文件路径
w.Header().Set("Content-Disposition", "attachment; filename=example.pdf")
w.Header().Set("Content-Type", r.Header.Get("Content-Type"))
http.ServeFile(w, r, filepath)
}
说明:
- Content-Disposition: attachment 告诉浏览器弹出“保存文件”对话框而非直接打开。
- 若未设置该头,浏览器可能尝试内联显示PDF、图片等文件。
大文件下载优化:分块读取与流式传输
对于大文件(如超过100MB),直接使用 http.ServeFile 虽然可行,但若
需自定义控制(如进度、限速、校验),建议手动流式读取。
func streamDownload(w http.ResponseWriter, r *http.Request) {
file, err := os.Open("./large-file.zip")
if err != nil {
http.Error(w, "File not found", http.StatusNotFound)
return
}
defer file.Close()
fileInfo, _ := file.Stat()
w.Header().Set("Content-Disposition", "attachment; filename=large-file.zip")
w.Header().Set("Content-Type", "application/octet-stream")
w.Header().Set("Content-Length", fmt.Sprintf("%d", fileInfo.Size()))
buffer := make([]byte, 32*1024) // 32KB 缓冲区
_, err = io.CopyBuffer(w, file, buffer)
if err != nil {
// 处理网络中断等情况
log.Printf("Download failed: %v", err)
}}
优点:
- 控制缓冲区大小,避免内存暴涨。
- 可结合 io.TeeReader 实现下载进度统计。
- 支持后续添加压缩、加密等中间处理。
断点续传支持(Range 请求)
为了提升用户体验,尤其是网络不稳定时,应支持HTTP Range请求。
Golang标准库的 http.ServeContent 可自动处理Range请求:
func rangeDownload(w http.ResponseWriter, r *http.Request) {
file, err := os.Open("./resume.pdf")
if err != nil {
http.Error(w, "File not found", http.StatusNotFound)
return
}
defer file.Close()
fileInfo, _ := file.Stat()
modTime := fileInfo.ModTime()
w.Header().Set("Content-Disposition", "attachment; filename=resume.pdf")
http.ServeContent(w, r, "resume.pdf", modTime, file)}
注意:
- 使用 http.ServeContent 替代 http.ServeFile 可更灵活地控制修改时间与名称。
- 它会自动识别 Range 和 If-Range 头,返回 206 Partial Content。
安全与性能建议
在生产环境中,需考虑以下几点:
-
路径穿越防护:避免用户通过
../../etc/passwd下载敏感文件。应对文件名做白名单校验或路径绑定。 - 速率限制:对高频下载行为进行限流,防止带宽滥用。可使用 golang.org/x/time/rate 实现令牌桶限速。
- 超时控制:为下载连接设置合理的超时时间,避免长时间占用连接资源。
- 日志记录:记录下载行为(IP、文件、时间),便于审计与分析。
- 使用CDN或静态服务器:大流量场景下,建议将文件交由Nginx或CDN处理,减轻Go服务压力。
基本上就这些。Golang实现文件下载简单高效,关键在于根据场景选择合适的方式——小文件用 http.ServeFile,大文件或需控制时用流式读取,追求体验则加上断点续传。配合安全措施,就能满足大多数业务需求。
