go中json.unmarshal安全解析需结构体字段导出并用json tag声明,检查error,用指针处理可选字段;r.body只能读一次,需缓存复用;响应要用json.newencoder或手动设content-type;嵌套结构优先用struct而非map;注意time.time格式和defer关闭body。
如何用 json.Unmarshal 安全解析请求体
Go 的 json.Unmarshal 默认要求结构体字段首字母大写(即导出),否则会静默忽略。常见错误是定义了小写字段如 type User { name string },结果解析后始终为空。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 结构体字段必须导出(首字母大写),并用
jsontag 显式声明键名,例如Name string `json:"name"` - 对可能缺失的字段,用指针或
omitempty控制序列化行为;但反序列化时优先用指针避免零值覆盖,比如Age *int `json:"age"` - 始终检查
json.Unmarshal返回的 error,HTTP 请求体为空、格式非法、类型错配(如字符串传数字)都会在这里暴露,不要只依赖if err != nil就 panic - 若需兼容多种输入格式(如字符串数字和纯数字混用),先用
json.RawMessage延迟解析,再按需转换
为什么 http.HandlerFunc 中要限制读取 r.Body 一次
r.Body 是单次读取的 io.ReadCloser,多次调用 ioutil.ReadAll 或 json.NewDecoder(r.Body).Decode() 会导致后续读取返回空或 EOF 错误——尤其在中间件(如日志、鉴权)已提前读过 body 的情况下。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 只在最终处理函数中读一次 body,并把解析结果作为参数传入业务逻辑,不要在多个地方重复
io.ReadAll - 若需复用 body(如记录原始 JSON 日志),用
bytes.Buffer缓存:先buf, _ := io.ReadAll(r.Body),再用bytes.NewReader(buf)构造新 reader 供多次使用 - 注意
http.Request的Body在调用r.ParseForm()后也可能被消费,避免混用ParseForm和手动 JSON 解析
如何用 json.Marshal 输出标准响应并控制 HTTP 状态码
json.Marshal 只负责序列化,不设置 Content-Type 或状态码。直接 w.Write(data) 会导致前端收到 200 OK 但 Content-Type 是 text/plain,某些客户端(如 Axios)可能拒绝解析。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 务必在
WriteHeader后再Write:先w.WriteHeader(http.StatusOK),再w.Header().Set("Content-Type", "application/json; charset=utf-8"),最后w.Write(data) - 更稳妥的做法是用
json.NewEncoder(w).Encode(v),它自动设置 Content-Type 并处理流式编码,还能及时捕获序列化错误(如含不可序列化字段的 struct) - 避免在结构体里放
func、chan、map[interface{}]interface{}这类无法 JSON 化的字段,否则Encode会返回json: unsupported type: xxx
处理嵌套 JSON 或动态字段该用 map[string]interface{} 还是 json.RawMessage
用 map[string]interface{} 解析嵌套结构看似方便,但会丢失原始类型信息(JSON 数字全转成 float64)、无法保留字段顺序、且深度嵌套时类型断言繁琐易 panic。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 对明确结构的嵌套字段,坚持定义嵌套 struct,比
map更安全、可读、可测试 - 仅当字段名完全未知(如 webhook 携带任意 key)或需透传部分 JSON 到下游时,才用
json.RawMessage字段暂存原始字节,避免重复解析 - 若必须用
map[string]interface{},用jsoniter替代标准库(它默认保持整数类型),或手动做类型断言:先v, ok := m["id"].(float64),再转int64(v)
time.Time 字段加 json tag 控制格式,导致输出 ISO8601 字符串而非时间戳;还有在 handler 里忘了 defer r.Body.Close(),长期运行会耗尽文件描述符。这些细节不报错,但上线后才暴露。 
