Java上传ZIP文件如何接收并解压？

1. 基础概念：Spring MVC 文件上传机制

在Java Web应用中，使用Spring MVC处理文件上传依赖于MultipartResolver接口的实现类CommonsMultipartResolver或StandardServletMultipartResolver。前端需通过multipart/form-data编码类型提交表单，否则服务器无法正确解析文件字段。

<bean id="multipartResolver"
    class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
    <property name="maxUploadSize" value="10485760"/> <!-- 10MB -->
</bean>

若未配置此Bean，或前端未设置正确的enctype，将导致接收到的MultipartFile为空或内容损坏。

2. 接收ZIP文件：Controller层实现

使用@RequestParam("file") MultipartFile zipFile接收上传的ZIP文件，并进行基本校验：

@PostMapping("/upload")
public ResponseEntity<String> handleFileUpload(@RequestParam("file") MultipartFile zipFile) {
    if (zipFile.isEmpty()) {
        return ResponseEntity.badRequest().body("文件为空");
    }
    if (!zipFile.getOriginalFilename().toLowerCase().endsWith(".zip")) {
        return ResponseEntity.badRequest().body("仅支持ZIP格式");
    }
    // 继续解压逻辑...
}

• 检查isEmpty()防止空流
• 验证扩展名避免非ZIP文件误传
• 建议结合MIME类型双重校验（如application/zip）

3. 解压核心逻辑：安全读取ZIP条目

为避免ZipException，应使用BufferedInputStream包装输入流，再封装为ZipInputStream逐个读取条目：

try (BufferedInputStream bis = new BufferedInputStream(zipFile.getInputStream());
     ZipInputStream zis = new ZipInputStream(bis)) {

    ZipEntry entry;
    while ((entry = zis.getNextEntry()) != null) {
        String fileName = entry.getName();
        // 安全校验见第4节
        File destFile = new File(outputDir, fileName);
        // 防止路径遍历
        if (!destFile.getCanonicalPath().startsWith(outputDir.getCanonicalPath())) {
            throw new SecurityException("非法路径：" + fileName);
        }
        if (entry.isDirectory()) {
            destFile.mkdirs();
        } else {
            File parent = destFile.getParentFile();
            if (parent != null) parent.mkdirs();
            Files.copy(zis, destFile.toPath(), StandardCopyOption.REPLACE_EXISTING);
        }
        zis.closeEntry();
    }
}

4. 安全性控制：防御路径遍历攻击

ZIP条目中的文件名可能包含../等恶意路径片段，直接拼接易引发路径遍历漏洞。必须进行规范化校验：

1. 调用getCanonicalPath()获取标准化绝对路径
2. 确保目标路径位于预设解压根目录之下
3. 拒绝含..\\、/../、\\..\等模式的文件名
4. 可引入白名单正则过滤特殊字符（如|:<>?*）

此外，限制解压后总大小和单个文件尺寸可防止压缩炸弹攻击。

5. 大文件处理：避免OutOfMemoryError

大ZIP文件可能导致堆内存溢出，尤其在将整个文件加载至字节数组时。解决方案包括：

关键点是避免一次性读取整个文件内容，始终以流方式处理，并设置JVM参数如-Xmx合理分配内存。

6. 异常处理与日志监控

常见异常类型及应对策略：

建议集成SLF4J记录详细上下文信息用于排查。

7. 性能优化与最佳实践

• 启用异步处理（@Async）避免阻塞主线程
• 使用NIO.2的Path和Files工具类增强健壮性
• 对上传文件做病毒扫描（集成ClamAV等）
• 解压完成后自动清理临时文件
• 提供进度回调接口供前端展示
• 支持断点续传（配合前端分片上传）
• 使用try-with-resources确保流关闭
• 配置Tomcat的maxSwallowSize防止残留请求体影响后续读取

这些措施显著提升系统稳定性与用户体验。