Spring Boot Excel导出实战：从POI原理到百万级数据优化

1. 项目概述：为什么Spring Boot项目总绕不开Excel导出？

在后台管理、数据报表、业务分析这些场景里，把数据导出成Excel文件，几乎是一个刚需功能。无论是产品经理要一份用户清单，还是财务需要月度对账明细，一个稳定、高效、安全的Excel导出接口，往往是衡量一个后端服务是否“好用”的细节之一。Spring Boot作为Java生态中最主流的应用框架，配合Apache POI这个老牌Excel处理库，构成了实现这一功能的黄金组合。但真正上手时你会发现，从简单的列表导出到支持百万级数据、复杂样式、动态模板，再到确保接口安全、性能可控，这里面有太多细节值得琢磨。这篇文章，我就结合自己踩过的坑和项目中的实践，把Spring Boot整合Excel导出的完整方案、核心原理和那些文档里不会写的“坑点”给你讲透。

2. 技术选型与核心库解析

2.1 为什么是Apache POI？

在Java世界里，处理Office文档，Apache POI是事实上的标准。它提供了一套完整的API，允许你以编程方式创建、读取和修改Microsoft Office格式的文件，包括我们最常用的.xls和.xlsx（即Excel 97-2003和Excel 2007+格式）。对于导出功能，我们主要使用其写入（Write）能力。

POI的核心模型非常直观，映射了Excel文件的结构：

• Workbook（工作簿）：对应一个Excel文件，是顶级容器。
• Sheet（工作表）：对应Excel中的一个Sheet页，一个Workbook可以包含多个Sheet。
• Row（行）：对应Sheet中的一行。
• Cell（单元格）：对应一行中的一个单元格，是存放数据的最终位置。

除了基础模型，POI还提供了丰富的功能来控制单元格样式（字体、颜色、边框、对齐）、公式、合并单元格、图表等，足以应对复杂的报表需求。

2.2 HSSF vs XSSF vs SXSSF：关键抉择

POI针对不同版本的Excel提供了不同的实现类，选择哪一个直接关系到内存占用和性能，这是第一个容易踩坑的地方。

• HSSF (Horrible SpreadSheet Format)：

  • 对应.xls格式（Excel 97-2003）。
  • 基于二进制格式，文件体积相对较小。
  • 最大行数限制为65535行，超过此限制会抛出异常。
  • 适用于数据量很小（几千行以内）的旧系统兼容场景。在现代项目中，除非有强制兼容要求，否则不建议使用。

• XSSF (XML SpreadSheet Format)：

  • 对应.xlsx格式（Excel 2007及以上）。
  • 基于Open XML标准（实质上是ZIP打包的一系列XML文件），支持更大的数据量（理论行数超过100万）。
  • 它将整个工作簿的模型（单元格、样式等）完全保存在内存中。当数据行数达到几万甚至几十万时，内存消耗会急剧上升，极易引发OutOfMemoryError。

• SXSSF (Streaming XML SpreadSheet Format)：

  • 同样生成.xlsx格式文件。
  • 这是处理大数据量导出的首选方案。它采用了“滑动窗口”的流式写入机制。
  • 原理：你可以在内存中保留一定数量的行（例如100行），当行数超过这个窗口大小时，最早的行会被刷新到磁盘上的临时文件中。最终，这些临时文件会被打包成最终的.xlsx文件。
  • 优点：内存占用恒定，与总数据量无关，只与“窗口大小”有关。可以轻松处理百万行级别的数据导出。
  • 缺点：由于早期的行被写入临时文件，无法再回头修改（例如，无法在写完全部数据后，再回头修改第一行的样式）。同时，它会创建临时文件，需要在最后调用workbook.dispose()来清理。

选择建议： 对于绝大多数Spring Boot导出场景，如果你的数据量可能超过万行，请毫不犹豫地选择SXSSFWorkbook。它是性能和安全性的保障。

2.3 其他备选方案简析

虽然POI是主流，但了解其他选项有助于在特定场景下做出更优决策。

• EasyExcel（阿里出品）：

  • 基于POI封装，但核心目标是解决POI的内存消耗和性能问题。它通过注解和监听器模式，实现了真正的逐行解析/写入，内存占用极低。
  • 对于超大数据量（千万级）的读写，EasyExcel在性能和易用性上往往更胜一筹。
  • 如果你的项目对性能有极致要求，或者数据量经常非常大，EasyExcel是一个非常好的选择。它同样可以很好地集成在Spring Boot中。

• JXLS：

  • 这是一个基于模板的引擎。你事先用Excel设计好带有特定标记（如${name}）的模板文件，JXLS负责将数据填充到标记位置。
  • 优点：对于格式复杂、带有固定表头、图表、公式的报表，开发效率极高，前端（或业务人员）可以直接用Excel设计模板。
  • 缺点：需要维护模板文件，动态生成能力相对较弱。

实操心得： 在常规项目中，我通常的搭配是：通用列表导出用SXSSF，超大数据导出或复杂读操作用EasyExcel，固定格式的合同、单据打印用JXLS模板。POI作为基础，因其生态最成熟、资料最全，仍然是需要深入掌握的核心技能。

3. 基础导出功能实现详解

3.1 环境准备与依赖引入

首先，在你的pom.xml中添加必要的依赖。这里我们引入POI的ooxml-schemas以支持.xlsx格式，并包含poi-ooxml以使用XSSF和SXSSF。

<dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>5.2.3</version> <!-- 请使用最新稳定版本 --> </dependency>

注意：POI版本请保持更新，以获取性能改进和安全修复。同时，确保与你的Spring Boot版本兼容。通常Spring Boot的父POM会管理一个兼容的版本，你可以选择覆盖。

3.2 核心工具类封装

一个好的实践是将Excel操作逻辑封装成工具类，提高代码复用性。下面是一个基础的导出工具方法：

import org.apache.poi.ss.usermodel.*; import org.apache.poi.xssf.streaming.SXSSFWorkbook; import org.apache.poi.xssf.usermodel.XSSFWorkbook; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.io.OutputStream; import java.net.URLEncoder; import java.nio.charset.StandardCharsets; import java.util.List; import java.util.Map; public class ExcelExportUtil { /** * 导出Excel到HttpServletResponse (适用于Web场景) * @param response HttpServletResponse * @param fileName 导出文件名（无需后缀） * @param sheetName 工作表名 * @param headers 表头数组，如 ["ID", "姓名", "邮箱"] * @param dataList 数据列表，每个Map对应一行，key与headers顺序对应 * @param useStreaming 是否使用流式导出（大数据量时设为true） */ public static void exportToResponse(HttpServletResponse response, String fileName, String sheetName, String[] headers, List<Map<String, Object>> dataList, boolean useStreaming) throws IOException { // 1. 设置响应头 response.setContentType("application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"); String encodedFileName = URLEncoder.encode(fileName + ".xlsx", StandardCharsets.UTF_8.toString()) .replaceAll("\\+", "%20"); // 处理空格 response.setHeader("Content-Disposition", "attachment; filename*=UTF-8''" + encodedFileName); // 2. 创建Workbook Workbook workbook; if (useStreaming) { workbook = new SXSSFWorkbook(); // 流式，大数据量 } else { workbook = new XSSFWorkbook(); // 普通方式，小数据量 } // 3. 创建Sheet和表头 Sheet sheet = workbook.createSheet(sheetName); Row headerRow = sheet.createRow(0); CellStyle headerStyle = createHeaderCellStyle(workbook); // 创建表头样式 for (int i = 0; i < headers.length; i++) { Cell cell = headerRow.createCell(i); cell.setCellValue(headers[i]); cell.setCellStyle(headerStyle); // 可选：根据表头内容自动调整列宽 sheet.autoSizeColumn(i); // 注意：autoSizeColumn在大数据量下性能很差，可考虑估算宽度或省略 } // 4. 填充数据 CellStyle dataStyle = createDataCellStyle(workbook); // 创建数据样式 int rowNum = 1; for (Map<String, Object> rowData : dataList) { Row row = sheet.createRow(rowNum++); for (int i = 0; i < headers.length; i++) { Cell cell = row.createCell(i); Object value = rowData.get(headers[i]); // 根据表头key获取值 setCellValue(cell, value); // 根据类型设置单元格值 cell.setCellStyle(dataStyle); } } // 5. 写出到响应流 try (OutputStream outputStream = response.getOutputStream()) { workbook.write(outputStream); outputStream.flush(); } finally { // 6. 清理资源（重要！尤其是SXSSFWorkbook） if (workbook instanceof SXSSFWorkbook) { ((SXSSFWorkbook) workbook).dispose(); // 删除临时文件 } workbook.close(); } } private static CellStyle createHeaderCellStyle(Workbook workbook) { CellStyle style = workbook.createCellStyle(); Font font = workbook.createFont(); font.setBold(true); // 加粗 font.setFontHeightInPoints((short) 12); style.setFont(font); style.setAlignment(HorizontalAlignment.CENTER); // 居中 style.setFillForegroundColor(IndexedColors.GREY_25_PERCENT.getIndex()); // 背景色 style.setFillPattern(FillPatternType.SOLID_FOREGROUND); style.setBorderBottom(BorderStyle.THIN); // 边框 style.setBorderTop(BorderStyle.THIN); style.setBorderLeft(BorderStyle.THIN); style.setBorderRight(BorderStyle.THIN); return style; } private static CellStyle createDataCellStyle(Workbook workbook) { CellStyle style = workbook.createCellStyle(); style.setBorderBottom(BorderStyle.THIN); style.setBorderTop(BorderStyle.THIN); style.setBorderLeft(BorderStyle.THIN); style.setBorderRight(BorderStyle.THIN); // 可以设置数据格式，例如日期格式 // style.setDataFormat(workbook.createDataFormat().getFormat("yyyy-MM-dd HH:mm:ss")); return style; } private static void setCellValue(Cell cell, Object value) { if (value == null) { cell.setCellValue(""); } else if (value instanceof String) { cell.setCellValue((String) value); } else if (value instanceof Number) { cell.setCellValue(((Number) value).doubleValue()); } else if (value instanceof Boolean) { cell.setCellValue((Boolean) value); } else if (value instanceof java.util.Date) { cell.setCellValue((java.util.Date) value); // 需要为单元格单独设置日期样式 } else { cell.setCellValue(value.toString()); } } }

3.3 Spring Boot Controller层实现

在Controller中，调用上述工具类非常简单。但更常见的做法是，我们结合Service层从数据库查询数据，然后组织成工具类需要的格式。

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; @RestController @RequestMapping("/api/export") public class ExportController { @Autowired private UserService userService; @GetMapping("/users") public void exportUsers(HttpServletResponse response) throws IOException { // 1. 查询数据（这里简单模拟，实际应从Service层获取） List<User> userList = userService.findAllUsers(); // 2. 组织表头和数据 String[] headers = {"用户ID", "用户名", "邮箱", "注册时间", "状态"}; List<Map<String, Object>> dataList = new ArrayList<>(); for (User user : userList) { Map<String, Object> row = new HashMap<>(); row.put(headers[0], user.getId()); row.put(headers[1], user.getUsername()); row.put(headers[2], user.getEmail()); row.put(headers[3], user.getCreateTime()); // 假设是Date类型 row.put(headers[4], user.getActive() ? "活跃" : "禁用"); dataList.add(row); } // 3. 调用工具类导出 // 假设数据量不大，不使用流式导出。如果userList可能很大，第三个参数应传true ExcelExportUtil.exportToResponse(response, "用户列表", "用户数据", headers, dataList, false); } }

关键点解析：

1. HttpServletResponse：Spring MVC会自动注入该对象，用于直接操作HTTP响应。
2. 响应头设置：必须在写入任何内容到OutputStream之前设置好Content-Type和Content-Disposition头，否则可能导致浏览器无法正确识别文件或文件名乱码。我们使用了filename*参数并指定UTF-8编码，这是处理中文文件名兼容性最好的方式之一。
3. 资源清理：在finally块或 try-with-resources 中确保Workbook和OutputStream被正确关闭。对于SXSSFWorkbook，必须调用dispose()来删除其生成的临时文件，否则会堆积在临时目录。
4. 数据准备：将实体对象列表转换为List<Map<String, Object>>是一种灵活的方式，Map的key与表头数组对应。你也可以直接传递List<List<Object>>，但会失去表头与数据的映射关系。

4. 高级特性与性能优化实战

4.1 百万级数据流式导出

当导出数据量达到十万甚至百万行时，直接使用XSSFWorkbook会将所有数据模型装入内存，必然导致OOM。此时必须启用SXSSFWorkbook的流式特性。

优化后的工具方法（片段）：

public static void exportLargeDataToResponse(HttpServletResponse response, String fileName, String sheetName, String[] headers, Iterator<Map<String, Object>> dataIterator, // 改为迭代器，避免一次性加载所有数据到内存 int windowSize) throws IOException { response.setContentType("application/vnd.openxmlformats-officedocument.spreadsheetml.sheet"); response.setHeader("Content-Disposition", "attachment; filename*=UTF-8''" + URLEncoder.encode(fileName + ".xlsx", "UTF-8").replaceAll("\\+", "%20")); // 创建SXSSFWorkbook，指定滑动窗口大小。默认是100。 SXSSFWorkbook workbook = new SXSSFWorkbook(windowSize); // 启用压缩，减少临时文件大小和最终文件大小 workbook.setCompressTempFiles(true); Sheet sheet = workbook.createSheet(sheetName); // ... 创建表头 ... int rowNum = 1; while (dataIterator.hasNext()) { Map<String, Object> rowData = dataIterator.next(); Row row = sheet.createRow(rowNum++); // ... 填充单元格 ... // 重要：SXSSF会自动管理窗口，当行数超过windowSize时，最早的行会被刷到磁盘。 } try (OutputStream os = response.getOutputStream()) { workbook.write(os); } finally { workbook.dispose(); // 必须调用，清理临时文件 workbook.close(); } }

数据源迭代器的实现： 关键在于不能一次性从数据库查询出所有百万条数据。需要使用分页查询或游标（Cursor）的方式，逐批获取数据。

// 使用MyBatis-Plus分页查询示例（伪代码） public void exportLargeUsers(HttpServletResponse response) throws IOException { String[] headers = {...}; int pageSize = 2000; // 每页大小 int currentPage = 1; boolean hasNext = true; // 这里不能提前查询总数，而是使用迭代器模式 // 实际项目中，可以定义一个回调接口或使用函数式编程 Iterator<Map<String, Object>> iterator = new Iterator<>() { private List<Map<String, Object>> currentBatch = null; private int batchIndex = 0; @Override public boolean hasNext() { if (currentBatch == null || batchIndex >= currentBatch.size()) { // 查询下一页 Page<User> page = new Page<>(currentPage, pageSize); IPage<User> userPage = userService.page(page); currentBatch = convertToMapList(userPage.getRecords()); // 转换为Map列表 batchIndex = 0; currentPage++; hasNext = userPage.getRecords().size() == pageSize; } return batchIndex < currentBatch.size(); } @Override public Map<String, Object> next() { return currentBatch.get(batchIndex++); } }; ExcelExportUtil.exportLargeDataToResponse(response, "百万用户", "数据", headers, iterator, 100); }

踩坑记录：使用SXSSF时，sheet.autoSizeColumn(columnIndex)方法需要遍历当前所有行来计算最大宽度，在流式写入且数据量大的情况下，性能是灾难性的。要么在写入完成后对所有列执行一次（但SXSSF无法读取已刷到磁盘的行），要么在写入前根据表头和数据特征估算一个固定宽度。

4.2 复杂样式与自定义格式

对于财务报告等需要专业排版的场景，单元格样式至关重要。

// 创建货币格式样式 private CellStyle createCurrencyCellStyle(Workbook workbook) { CellStyle style = workbook.createCellStyle(); Font font = workbook.createFont(); font.setFontName("等线"); // 指定字体 style.setFont(font); style.setAlignment(HorizontalAlignment.RIGHT); DataFormat format = workbook.createDataFormat(); style.setDataFormat(format.getFormat("¥#,##0.00")); // 中文货币格式 style.setBorderBottom(BorderStyle.THIN); return style; } // 创建百分比样式 private CellStyle createPercentageCellStyle(Workbook workbook) { CellStyle style = workbook.createCellStyle(); style.setDataFormat(workbook.createDataFormat().getFormat("0.00%")); return style; } // 在填充数据时应用样式 if ("amount".equals(headerKey)) { cell.setCellStyle(currencyStyle); cell.setCellValue(Double.parseDouble(value.toString())); } else if ("rate".equals(headerKey)) { cell.setCellStyle(percentageStyle); cell.setCellValue(Double.parseDouble(value.toString()) / 100.0); // 假设原始数据是整数百分比 }

注意事项：

1. 样式对象应复用：为每个单元格创建新的CellStyle对象会严重消耗内存（每个样式在Excel文件中都是一条独立记录）。正确的做法是为每种样式（如标题样式、货币样式、日期样式）创建一个CellStyle实例，然后在所有需要该样式的单元格上重复使用。
2. 字体注册：如果使用了非默认字体，需要确保该字体在客户端系统上可用，否则会回退到默认字体。更稳妥的方式是使用常见字体（如宋体、微软雅黑、Arial）。

4.3 多Sheet页与动态列生成

有些报表需要将不同类别的数据放在同一个Excel文件的不同Sheet中，或者列是动态根据查询条件生成的。

多Sheet实现：

SXSSFWorkbook workbook = new SXSSFWorkbook(); // Sheet1: 用户汇总 Sheet sheet1 = workbook.createSheet("用户汇总"); // ... 填充sheet1数据 ... // Sheet2: 订单汇总 Sheet sheet2 = workbook.createSheet("订单汇总"); // ... 填充sheet2数据 ... // 注意：每个Sheet都是独立的，需要分别创建表头、设置样式。

动态列生成： 关键在于先确定列的定义。可以从数据库元信息、配置项或前端传入的参数中获取列模型。

public void exportDynamic(HttpServletResponse response, List<ColumnMeta> columnMetaList) throws IOException { // ColumnMeta 可能包含 {fieldName, displayName, width, dataType, formatter} String[] headers = columnMetaList.stream().map(ColumnMeta::getDisplayName).toArray(String[]::new); List<Map<String, Object>> dataList = queryData(columnMetaList); // 根据需要的字段查询 // 导出时，根据ColumnMeta中的formatter动态格式化单元格值 for (Map<String, Object> row : dataList) { for (ColumnMeta meta : columnMetaList) { Object rawValue = row.get(meta.getFieldName()); Object formattedValue = formatValue(rawValue, meta.getFormatter()); // ... 设置到单元格 ... } } }

5. 生产环境关键问题排查与优化

5.1 内存溢出（OOM）问题

这是Excel导出最常见的生产问题。

• 症状：导出大量数据时，应用日志出现java.lang.OutOfMemoryError: Java heap space，服务可能崩溃或长时间无响应。
• 根因：
  1. 使用了XSSFWorkbook处理大数据量。
  2. 即使使用SXSSFWorkbook，但windowSize设置过大（例如10万），或者同时在内存中保留了多个Workbook对象（如并发导出）。
  3. 查询数据时，一次性加载了全量数据到内存（如SELECT * FROM huge_table），而不是流式/分页获取。
• 解决方案：
  1. 强制使用SXSSF：对于任何可能超过几千行的导出，统一使用SXSSFWorkbook。
  2. 合理设置窗口大小：new SXSSFWorkbook(100)通常是个安全的选择。它意味着内存中最多保留100行数据。
  3. 流式数据源：如上节所述，使用分页查询或数据库游标，配合Iterator，避免一次性加载所有数据。
  4. JVM调优：适当增加堆内存（-Xmx）可以作为临时缓解措施，但治标不治本。
  5. 监控与限制：在导出接口入口处，对查询参数（如时间范围）进行强制限制，防止一次性导出过多数据。或者，将超大数据导出改为异步任务，生成后提供下载链接。

5.2 导出文件损坏或无法打开

• 症状：浏览器下载的.xlsx文件无法用Excel打开，提示“文件已损坏”或“文件格式无效”。
• 根因：
  1. 响应流被重复写入或关闭不当：在Controller方法中，可能先写入了其他内容（如日志、错误信息）到response.getWriter()或response.getOutputStream()，然后再写入Excel数据，导致HTTP响应体格式混乱。
  2. 响应头设置错误或重复设置：Content-Type不正确，或者设置了Content-Disposition: inline（内联显示）而不是attachment（附件下载）。
  3. 字符编码问题：文件名包含中文，但未正确编码，导致文件名部分成为乱码，干扰了文件头。
  4. Workbook未正常关闭：在写入过程中发生异常，workbook.close()未执行，导致写入不完整。
• 解决方案：
  1. 确保方法返回void并使用HttpServletResponse：这是最清晰的方式。避免在方法中返回ResponseEntity或其它对象的同时又操作response流。
  2. 单一出口：在try-catch-finally块中确保只有一个逻辑路径会向OutputStream写入数据。
  3. 正确的响应头：务必在获取OutputStream之前设置好所有响应头。
  4. 使用try-with-resources：确保Workbook和OutputStream被自动关闭。
  5. 文件名编码：使用URLEncoder.encode(fileName, "UTF-8")并配合filename*参数。

5.3 并发导出性能瓶颈

• 症状：多个用户同时发起导出请求时，系统响应变慢，CPU或内存使用率飙升，甚至导出失败。
• 根因：
  1. 数据库压力：并发查询相同的大表，导致数据库负载过高。
  2. 内存竞争：每个导出任务都在创建大型的SXSSFWorkbook对象并生成临时文件，竞争JVM内存和磁盘I/O。
  3. 线程阻塞：如果导出逻辑是同步的，大量请求会占满Web容器的线程池（如Tomcat），导致其他正常请求被阻塞。
• 解决方案：
  1. 异步导出：这是最有效的方案。接收到导出请求后，立即返回一个任务ID或查询凭证，后端启动一个异步线程或提交到线程池执行导出任务。任务完成后，将文件上传到OSS或存储到服务器的特定目录，前端轮询或通过WebSocket通知用户下载。

     @GetMapping("/async-export") public ResponseEntity<AsyncTask> asyncExport(@RequestParam Map<String, Object> params) { AsyncTask task = exportService.submitExportTask(params); return ResponseEntity.ok(task); // 返回 {taskId: "123", status: "PROCESSING"} } @GetMapping("/download/{taskId}") public void downloadExportFile(@PathVariable String taskId, HttpServletResponse response) { File file = exportService.getExportFile(taskId); // ... 将文件流写入response ... }

  2. 查询优化：为导出常用的查询条件建立数据库索引。考虑使用只读从库来分担导出查询的压力。
  3. 资源隔离与限流：使用线程池隔离导出任务，并设置队列大小和最大线程数，防止导出任务拖垮整个应用。在网关或应用层对导出接口进行限流。
  4. 缓存中间结果：对于数据变化不频繁的报表，可以考虑将查询结果或甚至生成的Excel文件缓存一段时间（如5分钟），在缓存有效期内，相同条件的请求直接返回缓存文件。

5.4 中文乱码与格式错位

• 文件名乱码：解决方案已在前文提及，使用filename*=UTF-8''格式。
• 单元格内容乱码：确保数据源（如数据库）的编码、Java程序的编码（建议统一为UTF-8）以及POI写入时的编码一致。POI的setCellValue对于字符串处理是安全的。
• 数字被识别为文本：在Excel中打开，数字单元格左上角有绿色三角，无法计算。这是因为POI默认将字符串写入CellType.STRING。对于数字，应使用cell.setCellValue(Double)或cell.setCellType(CellType.NUMERIC)后再设值。
• 日期显示为数字：Excel中日期是数值的一种特殊格式。写入Date对象后，必须为单元格设置日期样式，否则会显示为自1900年1月1日以来的天数。

  CellStyle dateStyle = workbook.createCellStyle(); dateStyle.setDataFormat(workbook.createDataFormat().getFormat("yyyy-MM-dd")); cell.setCellValue(date); cell.setCellStyle(dateStyle);

6. 安全与权限控制考量

导出功能往往涉及敏感数据，安全控制不可或缺。

1. 接口权限校验：使用Spring Security的@PreAuthorize、@Secured注解或方法内的权限判断，确保只有拥有特定角色（如ROLE_ADMIN、EXPORT_PERMISSION）的用户才能访问导出接口。
2. 数据行级权限：即使用户有导出权限，也不能导出所有数据。必须在Service层或数据查询层，根据当前登录用户的身份（如部门ID、数据范围）对查询结果进行过滤。永远不要相信前端传来的过滤参数，要在后端构建安全的查询条件。
3. 防爆破与日志审计：对导出接口进行访问频率限制，防止恶意用户通过脚本频繁导出，消耗系统资源。同时，记录详细的导出日志：谁、在什么时候、导出了什么条件的数据，便于事后审计。
4. 输出内容过滤：确保导出数据不包含敏感信息，如密码明文、身份证号、银行卡号（除非业务必需）。对于必需导出的敏感信息，考虑在导出前进行脱敏处理（如部分隐藏）。
5. 临时文件清理：SXSSFWorkbook生成的临时文件必须通过dispose()清理。此外，对于异步导出生成的服务器临时文件，需要有一个定时清理任务，删除超过一定时间（如24小时）的旧文件，防止磁盘被占满。

实现一个健壮、高效、安全的Spring Boot Excel导出功能，远不止调用一个API那么简单。它涉及到从数据查询、内存管理、样式处理到网络传输、安全控制的整个链路。理解Apache POI不同工作模式（XSSF vs SXSSF）的底层原理，是避开性能大坑的第一步。而在生产环境中，结合异步处理、资源隔离、权限校验等工程化实践，才能让这个看似简单的功能，真正稳定可靠地服务于业务。