用net/http调第三方API需显式设超时、复用client、用context控制请求;html模板中第三方数据须自动转义,富文本需白名单过滤;密钥通过环境变量管理;并发需限流,避免耗尽连接。
怎么用 net/http 调第三方 API(比如 gitHub 或天气服务)
go 原生 net/http 完全够用,不需要立刻上 resty 或 go-restful。关键在控制好 http.Client 生命周期和超时设置。
- 永远显式设置
Timeout,否则默认无超时,请求卡住会拖垮整个 Web 服务 - 复用
http.Client实例,不要每次请求都新建——它自带连接池,新建会导致 TCP 连接泛滥 - 用
context.WithTimeout包裹请求,便于统一取消和追踪
client := &http.Client{ Timeout: 5 * time.Second, } ctx, cancel := context.WithTimeout(context.Background(), 3*time.Second) defer cancel() req, _ := http.NewRequestWithContext(ctx, "GET", "https://www.php.cn/link/816f29f7fcace6a71651550c57d8705e", nil) req.Header.Set("Accept", "application/vnd.github.v3+json")
resp, err := client.Do(req) if err != nil { // 注意:可能是 context.DeadlineExceeded return }
如何把 API 响应安全注入到 HTML 模板(避免 xss)
直接把第三方返回的字符串塞进 html/template 会出问题——它默认转义所有内容,但如果你手动拼接 HTML 或用了 template.HTML 强制不转义,就可能执行恶意脚本。
- 第三方 API 返回的文本(如用户昵称、简介)一律走
{{.Name}},由模板自动转义 - 如果必须渲染富文本(如 markdown 解析后的内容),先用
bluemonday等库白名单过滤,再转成template.HTML - 绝对不要用
text/template渲染用户可控内容,它不提供 HTML 安全保障
Web 应用里怎么管理 API 密钥和配置
硬编码密钥或写死在代码里是高危操作。Go 没有内置 config 框架,但可以靠组合实现干净解耦:
- 用
os.Getenv读取环境变量,配合github.com/spf13/pflag或标准flag做 fallback - 敏感字段(如
API_KEY)只在启动时读一次,存进结构体字段,不暴露给 handler 闭包 - 测试时用
testify/mock或接口抽象掉 HTTP 调用,避免真实请求
type APIClient Struct { baseURL string apiKey string client *http.Client } func NewAPIClient() APIClient { return &APIClient{ baseURL: os.Getenv("THIRD_PARTY_API_URL"), apiKey: os.Getenv("THIRD_PARTY_API_KEY"), client: &http.Client{Timeout: 5 time.Second}, } }
为什么并发调多个第三方 API 时响应变慢甚至超时
常见误区是用 go f() 直接起一堆 goroutine,但没控速也没限流,导致连接数打满、对方限频、本地文件描述符耗尽。
立即学习“go语言免费学习笔记(深入)”;
- 用带缓冲的 channel 控制并发数,例如
sem := make(chan struct{}, 3),每次请求前sem ,结束后 - 第三方 API 的 QPS 限制通常写在文档里(如 GitHub 是 5000/h),按这个节奏匀速发请求
- 别忽略
http.Transport.MaxIdleConnsPerHost,默认是 2,小并发都可能排队
复杂点在于错误重试策略和熔断——比如连续 3 次 503 就暂时跳过该服务,这得自己基于 gobreaker 或简单计数器实现。别指望 HTTP 客户端自动处理这些。