Micronaut如何配置multipart大小和临时目录

Micronaut 的 multipart 配置在 application.yml 中，通过 micronaut.http.multipart 前缀设置；max-file-size 限制单文件大小，max-request-size 限制整个请求体大小；临时目录需显式配置 temporary-file-storage 并确保权限；文件保存须校验文件名、扩展名并生成唯一名称。

micronaut multipart 配置在哪？不是 spring，别找 multipartResolver

Micronaut 没有 multipartResolver 这个概念，也不走 Spring mvc 那套 Bean 注册流程。它的文件上传配置全在 application.yml（或 application.properties）里，由内置的 io.micronaut.http.multipart 配置前缀控制。你找不到 StandardservletMultipartResolver 或 CommonsMultipartResolver —— 它压根不依赖 Servlet API，而是基于 Netty 原生解析 multipart 请求。

max-file-size 和 max-request-size 有什么区别？

这是最容易配错的一对参数：

• max-file-size：单个上传文件的最大字节数（如 10MB），对应 MultipartFile.getSize() 的上限
• max-request-size：整个 HTTP 请求体的最大字节数（含所有文件 + 表单字段），超了直接 413 Payload Too Large

常见错误是只调大 max-file-size，结果上传两个 6MB 文件仍失败——因为总请求体超了默认的 10MB。建议按实际场景设为略大于预期最大总载荷，例如：

micronaut:   http:     multipart:       max-file-size: 20MB       max-request-size: 50MB

临时文件存哪？temporary-file-storage 路径必须手动指定

Micronaut 默认把上传的临时文件写到 jvm 临时目录（java.io.tmpdir），但该路径通常不可控、无清理策略，且多实例部署时可能混用。生产环境必须显式配置：

• 路径需存在且进程有读写权限（Micronaut 不自动创建目录）
• 不能是内存路径（如 /dev/shm），否则 transferTo() 会失败
• 推荐使用绝对路径，避免容器中相对路径解析歧义

示例配置：

micronaut:   http:     multipart:       temporary-file-storage: /var/tmp/micronaut-uploads

启动前请执行：mkdir -p /var/tmp/micronaut-uploads && chmod 755 /var/tmp/micronaut-uploads

Controller 里怎么安全保存文件？别直接用 transferTo 到用户输入路径

Micronaut 的 CompletedFileUpload（对应 Spring 的 MultipartFile）提供 transferTo(Path)，但直接拼接用户传的 filename 极易导致路径遍历漏洞（如传 ../../etc/passwd）。必须做三件事：

• 用 FilenameUtils.getName() 提取原始文件名（丢弃路径部分）
• 白名单校验扩展名（如只允许 .pdf, .png）
• 生成唯一文件名（如 UUID + 时间戳），再拼目标目录

关键代码片段：

String safeName = FilenameUtils.getName(upload.getFilename()); if (!ALLOWED_EXTENSIONS.contains(FilenameUtils.getExtension(safeName).toLowerCase())) {     throw new IllegalArgumentException("Invalid file extension"); } Path dest = Paths.get("/opt/uploads", UUID.randomUUID() + "-" + safeName); upload.transferTo(dest);

注意：transferTo 是阻塞 IO，高并发上传时建议配合 @ExecuteOn(TaskExecutors.IO) 切换线程池。

Micronaut 的 multipart 配置表面简单，但临时目录权限、请求尺寸边界、文件名净化这三点，线上出过太多 500 或任意文件写入事故——尤其当服务跑在容器里且没挂载持久化临时卷时，/tmp 可能被清空或空间不足，得盯紧日志里的 IOException: No space left on device。