Go Web服务需后端配置CORS、验证JSON请求体、使用路由库解析路径参数、统一前后端时间格式为UTC。

Go Web服务默认不处理 CORS，前端会报跨域错误

浏览器同源策略会拦截非同源请求，只要前端地址（如 http://localhost:3000）和 Go 后端地址（如 http://localhost:8080）协议、域名、端口任一不同，就触发跨域。此时前端 fetch 或 axios 会直接失败，控制台显示类似 Access to fetch at 'http://localhost:8080/api/user' from origin 'http://localhost:3000' has been blocked by CORS policy 的错误。

解决方式不是让前端“绕过”，而是后端明确声明允许哪些来源访问：

• 用 net/http 原生写法：在 handler 前加 header，例如 w.Header().Set("Access-Control-Allow-Origin", "http://localhost:3000")
• 更稳妥用中间件，比如 github.com/rs/cors：注册时传入 cors.AllowAll()（开发用）或指定 cors.AllowedOrigins([]string{"https://myapp.com"})（生产用）
• 注意：若需携带 cookie 或认证头（如 Authorization），必须同时设 Access-Control-Allow-Credentials: true，且 Allow-Origin 不能为 *，必须是具体域名

前端发 JSON 数据，Go 后端要显式调用 json.NewDecoder

很多新手以为 r.Body 是字符串，直接 io.ReadAll 后用 json.Unmarshal 解析就行——这没错，但容易漏掉两件事：

• 没检查 Content-Type 头是否为 application/json，导致前端误发表单数据时静默失败
• 没提前调用 r.ParseForm() 或 r.ParseMultipartForm() 就读 r.Body，某些中间件（如日志、gzip）可能已消费过 body，再读就是空的
• 正确做法：先验证 r.Header.Get("Content-Type")，再用 json.NewDecoder(r.Body).Decode(&v)；解码后务必检查 error，否则前端 400 错误但后端无提示

示例关键片段：

if r.Header.Get("Content-Type") != "application/json" {
    http.Error(w, "Content-Type must be application/json", http.StatusBadRequest)
    return
}
var req struct{ Name string }
if err := json.NewDecoder(r.Body).Decode(&req); err != nil {
    http.Error(w, "Invalid JSON", http.StatusBadRequest)
    return
}

前端路由带参数（如 /user/:id），Go 没原生路径参数解析

Go 标准库 net/http 的 ServeMux 只支持前缀匹配，不支持 Express 那种 /user/:id 或 Next.js 的 /user/[id] 语法。如果前端发请求到 /api/user/123，而你只注册了 /api/user/，就会 404。

• 手动切分路径：用 strings.Split(r.URL.Path, "/") 取最后一段，适合简单场景，但难处理嵌套或可选参数
• 换路由库：推荐 github.com/gorilla/mux，写法是 r.HandleFunc("/api/user/{id}", handler).Methods("GET")，然后用 mux.Vars(r)["id"]

  

  取值
• 注意：{id} 不校验格式，若需数字 ID，得自己 strconv.Atoi 并返回 400

前后端时间字段不一致，多半是时区或格式没对齐

前端 JS 的 Date 默认用本地时区，序列化成 ISO 字符串（如 "2025-05-20T14:30:00.000Z"）带 Z 表示 UTC；而 Go 的 time.Time 默认按本地时区解析，且 json.Marshal 输出不含时区偏移（除非显式设 location）。

• 统一用 UTC：Go 中所有 time 都用 time.UTC，解析时用 time.Parse(time.RFC3339, s)（它能识别 Z）
• 前端发时间前确保是 UTC：比如 new Date().toISOString()，别用 new Date().toString()
• API 返回时间字段时，避免用 time.Now().String()，改用 time.Now().UTC().Format(time.RFC3339) 或直接 JSON 序列化（Go 1.19+ 默认用 RFC3339）

最容易被忽略的是数据库字段类型：PostgreSQL 的 TIMESTAMP WITH TIME ZONE 和 Go 的 time.Time 配合好，但若用 TIMESTAMP WITHOUT TIME ZONE，时区信息就丢了。