传统图片信息的上传渠道一般在pc端的后台或者客户端上直接上传,但是如何在移动端的webview上快速上传图片,并保证图片安全下载这一直是一个挑战。
阿里云oss:阿里云对象存储OSS(Object Storage Service)是阿里云提供的海量、安全、低成本、高持久的云存储服务,在本文中用于存储图片。
文件流:二进制文件流。
base64:图片的base64二进制。
服务端到拿到文件流存储到oss上后,oss会提供一个临时的文件访问url,服务端拿到链接就可以做非常多的操作了,比如图片识别,图片解析,图片裁剪,图片选装等等。
阿里云的oss在图片安全问题上也提供了一些能力,比如过期时间,你可以设定一张图片访问的有效时间,比如5分钟后图片访问就失效了,这种情况能解决大部分图片安全问题,但对于一些特殊需求,比如懒加载的图片,feeds流里的图片这种在不确定什么时间才加载的图片,就会出现问题。所以这里提出图片和用户绑定,对图片进行用户权限的校验:
经过调研和技术选型,我们初步选择使用文件流的传输方式,通过http接口传输,直接把文件流打到后端服务,然后后端去把文件流存储到阿里云的oss上,这套方案在pc端实现良好,但是到了移动端,为了更好的样式和体验,通过唤起相册或者拍照的方式,只能获取到图片的base64,而无法直接获取文件流(标准input标签也能打开相册或拍照,但是是系统级别的行为,样式和交互方式不可控)。所以只能通过将base64转成文件对象去上传,这样从理论上可以和pc端保持一致,并通过获取base64的image/***来获得数据类型和自定义后缀,自定义文件名称后传入到filename参数:
dataURLtoFile('data:image/png;base64,iVBORw0KGgoAAAANSUh........', 'test.png');
function dataURLtoFile(base64String, filename) {
var arr = base64String.split(','),
mime = arr[0].match(/:(.*?);/)[1],
bstr = atob(arr[1]),
n = bstr.length,
u8arr = new Uint8Array(n);
while(n--){
u8arr[n] = bstr.charCodeAt(n);
}
let file = new File([u8arr], filename, {type:mime});
return file;
}
到这里一切都很完美,pc端可以通过input标签获取file对象直接上传到对应接口,移动端通过base64转换成File对象在上传到对应接口,使用一个接口就能同时打通pc端和移动端,但是在测试的时候抓包出现问题了。
由于我所使用的端内webview测试环境发现其对Formdata兼容性不强,文件名经常打不上去,文件名全部变成了file,并且文件大小变成0Kb,从而导致后端无法直接拿文件流。
在接下来的文件上传相关的资料学习和写demo尝试中发现,base64本身就是个字符串,可以将其上传至服务器端,让服务器端来处理文件并上传至阿里云的oss上。
既然前端在移动端webview里无法正常传输js生成的File对象,那么把FIle对象的生成环节移到服务端去生成,不就可以了,毕竟双端环境(Android、Ios)对于base64字符串传输还是友好的,但是由于base64比文件流是要大的,所以这里会在传输过程上造成一定的时间和资源的消耗。具体方案如下:
通过客户端的能力获取相册图片的base64,然后对base64进行大小压缩的处理,demo如下:
/**
* 对图片进行压缩处理
* @param base64String 源图片base64
* @param maxSize 可以设置成1M = 1024 * 1024 = 1048576,这里根据自己业务调整
* 图片base64和文件流之间大小可以参考:https://juejin.cn/post/6913814643618086925
*/
function processImage(base64String, maxSize, scale = 1) {
const canvas = document.createElement('canvas');
const context = canvas.getContext('2d');
const source = new Image();
source.onload = () => {
let sw = source.width * scale;
let sh= source.height * scale;
canvas.width = sw;
canvas.height = sh;
context.drawImage(source, 0, 0, sw, sh);
const imageBase = canvas.toDataURL('image/jpeg', 0.85);
if (imageBase.length > maxFileSize) {
processImage(imageBase, maxSize, 0.7);
return;
}
uploader(imageBase);
};
source.onerror = () => {
return base64String
};
source.src = base64String;
}
拿到处理后的base64,接下来就需要把对应的base64传递到后端,为了和浏览器端使用同一个上传接口,前端这边采用multipart/form-data上传类型的上传方式:
function uploader(base64string) {
const xhr = new XMLHttpRequest();
xhr.withCredentials = true; // 开启同源策略,避免因为多级域名不同而导致cookie缺失
const fd = new FormData();
fd.append('imgBase64Str', base64string);
fd.append('xxx', 'xxx');
.
.
.
xhr.open('POST', 'XXXXX', true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4 && xhr.status == 200) {
console.log('I get it')
}
};
xhr.send(fd);
}
最后通过阿里云的oss查看、下载接口等方案验证后都正常。
如何同时打通pc端也适用这套上传体系呢?
后端可以新增个字段来判断当前获取到的是base64还是文件流。由于阿里云oss都是直接上传文件流,pc端可以直接获取文件流,那么可以减少了后端把base64转文件流的成本,拿到就直接上传到oss上!
const reader = new FileReader(); reader.readAsDataURL(file); // file => input里的File对象
reader.onload = () => console.log(reader.result);
reader.onerror = error => console.log(error);
目前的测试应用框架是基于spring boot(PandoraBoot)的,所以可以直接写@Controller注解的类接收http请求。
在Controller类的方法上增加:
@CrossOrigin(origins = {"https://xxxx.com", "https://xxx.com"})
就可以提供对跨域访问的支持,依次来提供不同应用的域名访问图片的诉求。origins里可以写多个域名。
方法的定义为:
@CrossOrigin(origins = {"https://test.com", "https://test1.com"})
@RequestMapping(value = "/pathname/result", method =
RequestMethod.POST)
@ResponseBody
public TestResult uploadOssFile(@RequestParam MultipartFile file,
@RequestParam(value = "test") String Test,
HttpServletRequest request, HttpServletResponse response){
}
其中TestResult和FileUploadResponse都是自定义的数据结构。
如果是这种方式,则获取file.getInputStream()后直接传到阿里云的oss上即可,阿里云的oss上传接口:
ossClient.putObject(bucketName, fileKey, inputStream);
一般来说MultipartFile就能满足大多数需求了,对于PC浏览器来说MultipartFile就是标准的上传文件的方式。
但是我们的情况有些特殊,端上获取手机本地的图片文件后无法用MultipartFile传给后端,后端http接口接收到file后内容一直是空,这个问题一直没有得到解决,所以针对图片上传就使用了base64编码的方式,简单来说就是前端先把图片转成base64编码后的一个很长的字符串,然后把这个字符串作为参数传给后端。
方法的定义变成了:
@CrossOrigin(origins = {"https://test.com", "https://test1.com"})
@RequestMapping(value = "/pathname/result", method = RequestMethod.POST)
@ResponseBody
public AliAutoResult uploadOssFile(@RequestParam String imgBase64Str,
@RequestParam(value = "test") String Test,
HttpServletRequest request, HttpServletResponse response){
}
其中imgBase64Str就是图片编码后的字符串,因为长度太长了(稍微大点的图片编码后字符串长度就超过1M了),springboot默认POST传参的大小为1M,为了突破这个限制,需要做如下配置:
# POST上传文件大小限制
server.tomcat.max-http-post-size = -1
spring.http.multipart.maxFileSize = 50Mb
spring.http.multipart.maxRequestSize = 100Mb
收到base64编码的字符串后,需要将这个字符串解码后,再作为文件流的形式存储到oss上。
先将imgBase64Str转储为本地临时文件:
//获取临时文件
File file = makeTempFile(imgBase64Str);
/**
* 将上传的文件先在本地生成临时文件
*
* @return
*/
private File makeTempFile(String imgBase64Str) {
//解析文件类型
String base64Header = imgBase64Str.substring(0, imgBase64Str.indexOf(";base64,") + 8);
String fileType = base64Header.substring(base64Header.indexOf("/") + 1, base64Header.indexOf(";"));
log.warn("base64Header={};fileType={}", base64Header, fileType);
//去掉头部
String imgBase64 = imgBase64Str.replace(base64Header, "");
//生成临时文件
File file = new File(FILE_NAME + fileType);
try {
// Base64解码
BASE64Decoder decoder = new BASE64Decoder();
byte[] bytes = decoder.decodeBuffer(imgBase64);
for (int i = 0; i < bytes.length; ++i) {
if (bytes[i] < 0) {
// 调整异常数据
bytes[i] += 256;
}
}
// 生成图片
OutputStream out = new FileOutputStream(file);
out.write(bytes);
out.flush();
out.close();
} catch (Exception ex) {
log.error("makeTempFile|Exception:", ex);
return null;
}
return file;
}
然后使用FileInputStream将file传到oss上:
FileInputStream fileInputStream = new FileInputStream(file);
ossClient.putObject(bucketName, fileKey, fileInputStream);
至此,上传工作已经完成。
临时文件使用完成后记得删除哦。
也有方案说直接操作stream即可,但本人在这里没做尝试,有兴趣的读者可以去尝试一下。
我们要如何将图片的安全性做到一定程度,避免被他人恶意传播与利用,首先我们需要把图片分私有和共有,私有即只有特定的用户,比如上传者,后台审核人员等拥有对应业务标记身份的人可以访问,共有即不设置访问权限,所有用户都可以访问到这张图片。这样通过一些手段让非对应权限的人无法访问到这些信息流,从而达到对图片的泄露做到保护。
如果是公有的业务背景下直接返回图片存储在服务器或cdn上的链接即可。
如果是私有的图片,那么后端会提供一个有逻辑的http接口。例如:
https://localhost/path?xxx=xxx&fileKey=${fileKey}
服务器接口通过解析接口的参数fileKey,然后通过访问的用户是否具备对这个filekey所对应图片有访问权限来决定是否返回对应图片的文件流。
@CrossOrigin(origins = {"https://test.com", "https://test1.com"})
@RequestMapping(value = "/pathname/result", method = RequestMethod.GET)
@ResponseBody
public void downloadOssFile(@RequestParam(value = "fileKey") String fileKey,
@RequestParam(value = "process", required = false,
defaultValue = "") String process,
HttpServletRequest request, HttpServletResponse response)
根据fileKey就可从oss上下载到文件,示例代码:
//获取文件访问url
GeneratePresignedUrlRequest request = new GeneratePresignedUrlRequest
(bucketName, filekey, HttpMethod.GET);
request.setExpiration(new Date(System.currentTimeMillis() + 1000 * expireTime));
//process是对图片的额外处理参数
if (StringUtils.isNotBlank(process)) {
request.setProcess(process);
}
URL url = ossClient.generatePresignedUrl(request);
其中process参数形如:
image/action1,parame_value/action2,parame_value
详细的oss文档=https://help.aliyun.com/document_detail/44686.html?spm=a2c4g.11186623.6.733.537b6c6bs6NzzQ
获取到oss返回的url后,如果不涉及文件的私密性,可以直接将这个url返回给前端展示。
但如果不能透出这个url(私密文件不宜返回url),则可以读取这个url的http流,再返回HttpServletResponse的OutputStream流中。
图片上传也好,视频流上传也好,思路都是一致,本文只表达了一次性将数据全打上去思路,大文件的话就不推荐了(大文件采用分片上传思路),但原理相同。图片上传方案前期webview受到客户端的各种限制,最后采用了base64这种无障碍信息上传方案。但是base64比图片本身文件流是要大出25%左右的,所以无形也增大了http带宽的开销,最好能文件流上传的话就一定优先采取文件流上传(除非受到宿主环境的困扰)。
图片目前互联网上流传的渠道基本就是图片链接,在浏览器中就可以打开,base64也是一样,所以在文件流的外面套一层http接口的壳子,就可以做到权限的校验。
当然,图片上传还可以在通过阿里云的平台做非常多的事情,比如ocr解析,图片的选择、裁剪、压缩等等,具体实现都可以去看看阿里云的文档。
淘系技术部-阿里汽车-诚招英才
阿里汽车是阿里的创新业务,从线下到线上,以品牌+经销模式,依托轻店、本地化和直播等创新手段,探索汽车行业购车、养车互联网化的方案,十亿级别的市场可以探索,无限的可能值得追寻,加入我们,传奇由你而定。
【招聘岗位】前端、后端、测试、数据、算法
如果您有兴趣可以把简历发到 [email protected] 或者加作者微信 divcris
✿ 拓展阅读
作者|黄健(安笺)、王亮(央明)
编辑|橙子君
出品|阿里巴巴新零售淘系技术