Micronaut 的 multipart 配置在 application.yml 中,通过 micronaut.http.multipart 前缀设置;max-file-size 限制单文件大小,max-request-size 限制整个请求体大小;临时目录需显式配置 temporary-file-storage 并确保权限;文件保存须校验文件名、扩展名并生成唯一名称。
micronaut multipart 配置在哪?不是 Spring,别找 multipartResolver
Micronaut 没有 multipartResolver 这个概念,也不走 Spring MVC 那套 Bean 注册流程。它的文件上传配置全在 application.yml(或 application.properties)里,由内置的 io.micronaut.http.multipart 配置前缀控制。你找不到 StandardServletMultipartResolver 或 CommonsMultipartResolver —— 它压根不依赖 Servlet API,而是基于 Netty 原生解析 multipart 请求。
max-file-size 和 max-request-size 有什么区别?
这是最容易配错的一对参数:
-
max-file-size:单个上传文件的最大字节数(如10MB),对应MultipartFile.getSize()的上限 -
max-request-size:整个 HTTP 请求体的最大字节数(含所有文件 + 表单字段),超了直接 413 Payload Too Large
常见错误是只调大 max-file-size,结果上传两个 6MB 文件仍失败——因为总请求体超了默认的 10MB。建议按实际场景设为略大于预期最大总载荷,例如:
micronaut:
http:
multipart:
max-file-size: 20MB
max-request-size: 50MB
临时文件存哪?temporary-file-storage 路径必须手动指定
Micronaut 默认把上传的临时文件写到 JVM 临时目录(java.io.tmpdir),但该路径通常不可控、无清理策略,且多实例部署时可能混用。生产环境必须显式配置:
- 路径需存在且进程有读写权限(Micronaut 不自动创建目录)
- 不能是内存路径(如
/dev/shm),否则transferTo()会失败 - 推荐使用绝对路径,避免容器中相对路径解析歧义
示例配置:
micronaut:
http:
multipart:
temporary-file-storage: /var/tmp/micronaut-uploads
启动前请执行:mkdir -p /var/tmp/micronaut-uploads && chmod 755 /var/tmp/micronaut-uploads
Controller 里怎么安全保存文件?别直接用 transferTo 到用户输入路径
Micronaut 的 CompletedFileUpload(对应 Spring 的 MultipartFile)提供 transferTo(Path),但直接拼接用户传的 filename 极易导致路径遍历漏洞(如传 ../../etc/passwd)。必须做三件事:
- 用
FilenameUtils.getName()提取原始文件名(丢弃路径部分) - 白名单校验扩展名(如只允许
.pdf,.png) - 生成唯一文件名(如 UUID + 时间戳),再拼目标目录
关键代码片段:
String safeName = FilenameUtils.getName(upload.getFilename());
if (!ALLOWED_EXTENSIONS.contains(FilenameUtils.getExtension(safeName).toLowerCase())) {
throw new IllegalArgumentException("Invalid file extension");
}
Path dest = Paths.get("/opt/uploads", UUID.randomUUID() + "-" + safeName);
upload.transferTo(dest);
注意:transferTo 是阻塞 IO,高并发上传时建议配合 @ExecuteOn(TaskExecutors.IO) 切换线程池。
/tmp 可能被清空或空间不足,得盯紧日志里的 IOException: No space left on device。 
