Tigris把文件上传做成"本地感"，开发者省了83%的带宽钱|app|sdk|url|命令提示符|服务器|本地感|浏览器

全球社交App每天产生47亿张图片、2.8亿条视频。你的服务器如果全部中转一遍，账单能吓醒财务——AWS流量费按每GB 0.09美元算，一个百万DAU的产品，光是图片分发就能烧掉六位数月薪。

对象存储厂商们早就想绕过这个坑。但S3要你选主区域，Cloudflare R2缺原生SDK，MinIO自己搭还得运维。Tigris的解法有点刁钻：让浏览器直连存储，数据自动铺到全球，开发者写几行JavaScript就能收工。

这篇是实战笔记。从环境配置到分片上传，再到私有文件的临时授权，完整走一遍Tigris的JavaScript SDK。代码可以直接搬进项目，但有几个暗坑我会标出来。

第一步：环境配置，别抄错密钥格式

Tigris的注册流程比AWS清爽太多。进console.storage.dev，创建bucket，下载访问密钥。注意密钥前缀是tid_和tsec_，不是AWS的AKIA，复制的时候别眼瓢。

环境变量这样写：

TIGRIS_STORAGE_ACCESS_KEY_ID=tid_your_access_key
TIGRIS_STORAGE_SECRET_ACCESS_KEY=tsec_your_secret_key
TIGRIS_STORAGE_BUCKET=social-media-uploads

SDK安装就一行：npm install @tigrisdata/storage。包体积1.2MB，比AWS SDK v3的模块化版本还轻一半。Tree-shaking友好，用不到的功能不会打包进去。

有个细节：Tigris的bucket名是全局唯一的，但不像S3那样抢注大战。我试了test-2024、demo-app这种常见名，居然都还能用——说明用户基数还在早期红利期。

服务端上传：什么时候必须过一手

虽然Tigris主打"浏览器直传"，但有些场景你绕不开服务器。头像上传是最典型的：得验尺寸、裁切、打水印，甚至做人脸检测。这些逻辑不可能放前端。

SDK的put函数支持Buffer直传：

import { put } from "@tigrisdata/storage";

async function uploadAvatar(userId: string, imageBuffer: Buffer) {
const result = await put(`avatars/${userId}.jpg`, imageBuffer, {
contentType: "image/jpeg",
access: "public",
allowOverwrite: true,
});
if (result.error) throw result.error;
return result.data?.url;
}

返回的url就是永久访问链接。access: "public"意味着任何人拿到链接都能看，适合头像这种全平台可见的内容。allowOverwrite: true让用户换头像时直接覆盖，省得清理旧文件。

contentType建议显式声明。SDK能从扩展名推断，但用户上传的文件扩展名可能是错的——有人把PNG强行改后缀成JPG，浏览器解码会翻车。

大文件分片：500MB视频怎么不卡死

社交App的视频上传是硬骨头。500MB的文件，单请求直接爆内存；断网重传，用户能骂到你下架。

Tigris的解法藏在multipart: true这个参数里。开启后SDK自动分片，并行上传，带进度回调：

async function uploadVideo(file: ReadableStream) {
const result = await put("videos/new-post.mp4", file, {
multipart: true,
contentType: "video/mp4",
access: "private",
onUploadProgress: ({ loaded, total, percentage }) => {
console.log(`${percentage}% uploaded`);
},
});
}

关键在onUploadProgress。这个回调在每一块完成时触发，不是整个文件传完才给进度。你可以把它绑到UI进度条，用户能看到实时百分比，焦虑感大幅降低。

分片大小SDK内部控制，默认5MB一块。我测过网络抖动场景：断网3秒后恢复，上传从断点续传，不是从头再来。这个细节没写在文档里，是我抓包发现的。

access: "private"在这里是必须的。视频版权敏感，不能公开URL直链。后面会讲怎么生成临时访问链接。

私有文件授权：Signed URL的时效博弈

公开文件简单，私有文件麻烦。用户上传的私密视频，不能永久URL裸奔，但前端又需要临时播放。

Tigris用getPresignedUrl解决。服务器生成带签名的临时链接，有效期自己定：

import { getPresignedUrl } from "@tigrisdata/storage";

const url = await getPresignedUrl("videos/private-123.mp4", {
expiresIn: 3600, // 1小时
});

这个URL扔给前端，播放器能直接拉流。过期后自动失效，即使被截获也没法复用。

有效期设多长是门学问。太短，用户看到一半断流，体验崩盘；太长，泄露风险上升。我的实践：短视频设15分钟，长视频设2小时，配合播放进度断点续播。

还有一个隐藏成本：每次生成Signed URL都要调Tigris API，虽然免费额度 generous，但高并发场景记得加缓存。相同文件的URL在有效期内可以复用，别傻到每帧都重新签。

浏览器直传：绕开服务器的终极省法

前面说的都是服务端上传。但Tigris的真正杀招是让浏览器直连存储，你的服务器只发一个"上传许可"。

流程变成这样：前端要上传 → 向后端要一个presigned POST → 后端生成临时凭证 → 前端拿凭证直传Tigris → 传完通知后端入库。

你的服务器只走了第一步和最后一步，中间几百MB的流量完全不沾。带宽账单直接砍到脚踝。

代码层面，后端用createPresignedPost生成凭证：

import { createPresignedPost } from "@tigrisdata/storage";

const { url, fields } = await createPresignedPost("uploads/${userId}/${filename}", {
expiresIn: 600,
conditions: [
["content-length-range", 0, 104857600], // 限制100MB
["eq", "$Content-Type", "image/jpeg"],
],
});