Spring Bootの大容量レスポンス配信！初心者でもわかるストリーミングとファイル出力の実装方法

1. Spring Bootで大容量レスポンスを扱うときの注意点

1. Spring Bootで大容量レスポンスを扱うときの注意点

Spring Bootでは、通常のResponseEntityや@ResponseBodyを使ってレスポンスを返すことができますが、対象が数百MBや数GBに及ぶような大容量ファイルの場合、すべてをメモリに読み込むのは非常に危険です。

そのようなケースでは、ストリーミングによって逐次的にデータを返す方法が効果的です。ストリーミングは、サーバーのメモリ使用量を最小限に抑えつつ、クライアントへリアルタイムにデータを送信できます。

2. Spring Bootでファイルをストリーミングする実装方法

2. Spring Bootでファイルをストリーミングする実装方法

以下のように、OutputStreamを使用して、ファイルを少しずつクライアントに送り出す形で処理を実装できます。これは大容量ファイルでも安定してダウンロードさせる方法です。

@GetMapping("/download")
public void downloadLargeFile(HttpServletResponse response) throws IOException {
    response.setContentType("application/octet-stream");
    response.setHeader("Content-Disposition", "attachment; filename=large-file.zip");

    try (InputStream inputStream = new FileInputStream("/path/to/large-file.zip");
         OutputStream out = response.getOutputStream()) {

        byte[] buffer = new byte[8192];
        int bytesRead;
        while ((bytesRead = inputStream.read(buffer)) != -1) {
            out.write(buffer, 0, bytesRead);
        }
        out.flush();
    }
}

この実装ではInputStreamを使ってファイルを読み込み、バッファ単位で書き出すことで、大容量でも安定したレスポンスを実現できます。

3. ファイルの種類に応じたContent-Typeの設定

3. ファイルの種類に応じたContent-Typeの設定

ファイルの種類によってContent-Typeを適切に設定することで、ブラウザでの動作や表示形式を制御できます。たとえば、PDFなら「application/pdf」、CSVなら「text/csv」などです。

response.setContentType("application/pdf"); // PDFファイルの例

適切なContent-Typeを設定することで、ユーザーにとってより自然なファイルの受け取りが可能になります。

4. SpringのStreamingResponseBodyを使ったストリーミング配信

4. SpringのStreamingResponseBodyを使ったストリーミング配信

StreamingResponseBodyを使えば、Spring Bootが用意する仕組みで簡単にストリーミング配信を実装できます。

@GetMapping("/stream")
public ResponseEntity<StreamingResponseBody> streamLargeFile() {
    File file = new File("/path/to/large-file.mp4");

    StreamingResponseBody stream = outputStream -> {
        try (InputStream inputStream = new FileInputStream(file)) {
            byte[] buffer = new byte[8192];
            int bytesRead;
            while ((bytesRead = inputStream.read(buffer)) != -1) {
                outputStream.write(buffer, 0, bytesRead);
            }
            outputStream.flush();
        }
    };

    return ResponseEntity.ok()
        .header(HttpHeaders.CONTENT_DISPOSITION, "attachment; filename=large-file.mp4")
        .contentType(MediaType.APPLICATION_OCTET_STREAM)
        .body(stream);
}

StreamingResponseBodyは非同期処理にも対応しており、バックグラウンドでの大容量配信にも適しています。

5. ストリーミングを使うときの注意点と制限

5. ストリーミングを使うときの注意点と制限

ストリーミング配信は非常に便利ですが、以下の点に注意が必要です。

• クライアントが途中で接続を切った場合、例外が発生する可能性があります
• トランザクション管理と併用する場合、早めにコミットする設計が必要
• 圧縮処理などを挟む場合は、バッファのサイズや処理速度に注意

6. ファイル出力時のセキュリティ対策とベストプラクティス

6. ファイル出力時のセキュリティ対策とベストプラクティス

ユーザーが任意のファイルパスを指定できるようなAPI設計は危険です。パス・トラバーサル攻撃を防ぐために、ファイルパスは固定または検証されたものに限定すべきです。

また、以下のようなチェックを実装すると安全性が高まります。

• 存在しないファイルのリクエストには404で返す
• 拡張子を限定し、不正なファイル出力を避ける
• ファイル名に..や/が含まれていないかチェック

7. ファイルダウンロードのログや監査も忘れずに

7. ファイルダウンロードのログや監査も忘れずに

大容量ファイルを扱うAPIでは、セキュリティや監査対応のために、誰がいつ何をダウンロードしたかのログを残すことが重要です。

特に企業システムでは、情報漏洩や不正アクセスのリスク管理のため、アクセスログの出力やユーザー認証・認可とセットでダウンロード処理を設計することが推奨されます。

8. Spring Boot + セキュリティで認証付きダウンロードにするには？

8. Spring Boot + セキュリティで認証付きダウンロードにするには？

@PreAuthorizeやSecurityContextHolderを用いることで、認証されたユーザーのみがファイルを取得できるように制御することが可能です。

@PreAuthorize("hasRole('USER')")
@GetMapping("/secure-download")
public void secureDownload(HttpServletResponse response) {
    // ストリーミング処理
}

これにより、不正アクセスを防ぎ、ファイルごとのアクセス制限を実現できます。