s3_direct_multipart_upload 0.1.0

checksums.yaml

@@ -0,0 +1,7 @@
+---
+SHA256:
+  metadata.gz: 124641d70cf0b8880a27fac5adf24e75d83d7251ca1869cf975ef78700a909d7
+  data.tar.gz: 48df3b30a0bfb150ae30823e79932e7cc25a9c792041131ec1886ce3129ffb44
+SHA512:
+  metadata.gz: bdea9f54aac5a1ef4dc4cdec4d81fddb29689a76157e464a2bf4f04e3967aed4ba7877eaed176b4bbf7308b8e44849a43c72ff47d7d5219ac6c448e28a9be3c3
+  data.tar.gz: 64c6ed9591a00d69d61d848894192534e6368aacef52ba04e280bf63101b9273acdc20cc92c51c5e13ac6cc725671a6cef9e03f4eef29ca212e24b997419ed3e

data/AGENTS.md

@@ -0,0 +1,45 @@
+# 作業前の確認
+
+- 作業ディレクトリおよび親ディレクトリに README.md / SPEC.md / OPERATIONS.md / AGENTS.md が存在する場合、必ずすべて読み指示と方針を把握してから着手すること。
+
+# Style
+
+- すべての説明、途中の思考プロセス、ステップバイステップの推論を日本語で書くこと。
+- コードは通常どおり生成するが、補足説明や意図の説明もすべて日本語にする。
+- 推論や方針の説明を省略せず、わかりやすく日本語で書く。
+
+# ルール
+
+## 許可されるコマンド
+
+- 副作用のない Read / Get / 自動テスト
+- `bundle exec rspec`
+- `bundle install`
+- カレントディレクトリ以下のファイルの読み書き
+- インターネット上に一般公開されている文章へのアクセス
+
+## 許可されないコマンド
+
+- `git commit`, `git push`, `terraform apply`
+- git に機密情報をコミットしてはいけない
+
+## 不明な場合
+
+- コマンドが副作用を持つか不明、もしくは判断に迷う場合は、**必ず実行前にユーザーへ確認すること**
+- 勝手に推測して実行してはならない
+
+## ユーザーが危険コマンドの実行を要求した場合
+
+- 実行は拒否し、理由を説明する
+- 代わりに、手動で実行する場合の注意点・手順を日本語で説明する
+
+# プロジェクト固有の開発ガイド
+
+- RuboCop: `bundle exec rubocop`（`.rubocop.yml` は omakase 基準、新Copは enable）。指摘は原則解消する。
+- テスト: `bundle exec rspec`。SimpleCov を有効化しているため、カバレッジ（line/branch）100% を維持する方針。
+- CI: GitHub Actions で rubocop → rspec の順に実行し、両方のパスを必須とする。
+- 仕様の SoT: `SPEC.md`。運用の真実: `OPERATIONS.md`。意思決定は `ADR/`。概要と導線は `README.md`。
+- 開発用エンドポイント（dev/storage 系）は development/test のみ有効。本番では無効。
+- Disk + stub 環境では `create_multipart_upload` をユニーク `upload_id` で stub する初期化がある。変更時はテストも更新すること。
+- 開発モードでパート結合後、`tmp/s3_direct_multipart_upload/<object_key>` に単一ファイルが生成される。動作確認は OPERATIONS.md の手順に従う。
+- API 契約検証: request spec で committee-rails を用いて `doc/api.yml` / `doc/api_dev.yml` とレスポンスの整合を確認する（本番ミドルウェア適用はしない）。

data/CODE_OF_CONDUCT.md

@@ -0,0 +1,22 @@
+# 行動規範
+
+このプロジェクトは、すべての参加者にとって安全で歓迎されるコミュニティを目指します。以下を守ってください。
+
+## 期待する行動
+- 尊重と敬意をもってコミュニケーションする。
+- 根拠を示しながら建設的なフィードバックを行う。
+- 包摂的な表現を心がけ、排他的・差別的な言動を避ける。
+- レビューや議論では「人」ではなく「課題」にフォーカスする。
+
+## 容認しない行動
+- 侮辱、差別、ハラスメント（性別、性的指向、年齢、人種、宗教、障がい等に関するものを含む）。
+- 脅迫、個人情報の晒し、許可のない追跡や接触。
+- 議論の場での継続的な妨害や悪意あるトロール行為。
+
+## 適用範囲
+- この規範はリポジトリ、Issue/PR、レビューコメント、コミュニティスペースなど、プロジェクトに関わるすべての場に適用されます。
+
+## 連絡先と対応
+- 行動規範に反する事象を見かけた場合は `develop@logmi.co.jp` まで連絡してください。必要に応じて記録やスクリーンショットを添付してください。
+- メンテナは状況に応じて警告、コメント削除、投稿の一時停止、貢献の制限など適切な措置を講じます。
+- 繰り返しの違反や悪質な行為が確認された場合、プロジェクトからの除外を含む厳正な対応を行います。

data/CONTRIBUTING.md

@@ -0,0 +1,26 @@
+# コントリビュートガイドライン
+
+このプロジェクトへの貢献を歓迎します。以下の方針に従ってください。
+
+## 開発準備
+- Ruby 3.2 以上で動作することを前提としています。
+- 依存をインストール: `bundle install`
+- 推奨チェック: `bundle exec rspec`
+
+## ブランチ運用と PR
+- main ブランチは常にリリース可能な状態を保ちます。作業はトピックブランチで行ってください（例: `feature/<短い説明>`）。
+- 1 PR は 1 つのテーマに絞り、変更点を簡潔にまとめた説明を記載してください。
+- 破壊的変更や仕様変更を含む場合は、動機と影響範囲を明記してください。
+- CI が通っていることを確認してからレビュー依頼を出してください。
+
+## コーディングとテスト
+- 追加・変更分に対するテストを同時に用意してください（正常系・異常系の双方を考慮）。
+- 表記・コメントは日本語で統一してください。
+- 可能な限り既存のコードスタイルに合わせてください。
+
+## セキュリティとプライバシー
+- 認証情報や個人情報を含むログやサンプルを PR に含めないでください。
+- 脆弱性を発見した場合は、公開 Issue ではなく `develop@logmi.co.jp` まで報告してください。
+
+## ライセンス
+- コントリビュートされたコードは MIT ライセンスの下で公開されることに同意したものとみなします。

data/MIT-LICENSE

@@ -0,0 +1,21 @@
+The MIT License (MIT)
+
+Copyright (c) 2025 Logmi, Inc.
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

data/OPERATIONS.md

@@ -0,0 +1,55 @@
+# OPERATIONS
+
+開発・運用手順と日常オペレーションの真実を記録する。仕様は SPEC.md を参照。
+
+## 1. 環境要件
+- Ruby 3.2.9（`.ruby-version`）
+- Bundler (`bundle install`) → `vendor/bundle` へインストール
+- AWS 依存: ActiveStorage サービス `s3_direct_multipart` 設定必須（`config/storage.yml` など）
+
+## 2. 開発セットアップ
+1. rbenv 等で Ruby 3.2.9 を有効化。
+2. `bundle install`
+3. テーブル適用（ホストアプリ側で実行）: `bin/rails s3_direct_multipart_upload:install:migrations` → `bin/rails db:migrate`
+
+## 3. 日常コマンド
+- テスト: `bundle exec rspec`
+- RuboCop: `bundle exec rubocop`
+- OpenAPI スキーマ検証: `bundle exec rspec spec/doc/openapi_spec.rb`（パース検証）、committee-rails によるレスポンス契約チェックは request spec 内で実行。
+- S3 挙動整合性チェック: `bundle exec rspec spec/requests/dev/storage_spec.rb spec/requests/dev/storage_downloads_spec.rb` で、S3 の想定ステータス/ETag 返却（200 + ETag、署名不正/期限切れは 403、存在しない/未完了は 404/422）が dev エンドポイントで再現できているか確認する。
+- CI: GitHub Actions で RuboCop → RSpec の順に実行（rubocop ジョブがパスしてから rspec ジョブを走らせる）。ruby/setup-ruby の bundler-cache を有効化。
+
+## 4. 開発モード（Disk + stub）でのアップロード検証
+- ActiveStorage 設定: `service: Disk` かつ `stub_responses: true`。
+- Presigned URL 発行→PUT: `PUT /s3_direct_multipart_upload/dev/storage/*path`
+  - 署名クエリ: `uploadId`, `partNumber`, `expires_at`, `signature`
+  - 保存先: `tmp/s3_direct_multipart_upload/<object_key>.parts/<partNumber>`
+  - ETag をレスポンスヘッダで返却
+- 署名用環境変数:
+  - `S3_DIRECT_DEV_ENDPOINT` (default `http://localhost:3000`)
+  - `S3_DIRECT_DEV_SECRET` (default `dev-secret`)
+- `create_multipart_upload` はユニーク `upload_id` を stub する（初期化で自動設定）。
+
+## 5. 開発モードでのダウンロード確認
+- complete 後、Disk 環境ではパートを結合し `tmp/s3_direct_multipart_upload/<object_key>` に単一ファイルを生成。
+- `GET /s3_direct_multipart_upload/dev/storage/:upload_session_id/download` で返却（development/test 限定）。
+- 未完了/欠損時は 422、存在しなければ 404、非開発環境は 404。
+
+## 6. 本番運用上の注意
+- 開発用ルート（dev/storage*, download）は development/test のみで有効。本番で開かないこと。
+- `abort_multipart_upload` や期限切れセッションクリーンアップは未実装。未完了アップロードが溜まらないようホスト側で定期バッチを用意する。
+- 認証/認可・レート制御はホストアプリ側で実装する。エンジンは `skip_forgery_protection`。
+
+## 7. トラブルシュートの要点
+- Disk + stub で `upload_id` 重複 → 初期化でユニーク stub を設定済みか確認。
+- 開発ダウンロードが 422 → セッションが completed か、結合パート欠損を確認 (`tmp/s3_direct_multipart_upload/<object_key>.parts/`).
+- サービス設定不足 → `ActiveStorage service 's3_direct_multipart' is not configured` が出たら `config/storage.yml` を確認。
+
+## 8. Rubygems 公開手順（社内向け）
+1. バージョン更新: `lib/s3_direct_multipart_upload/version.rb` を適切に bump。
+2. 依存同期: `bundle install`。
+3. テスト: `bundle exec rspec`（必要なら `bundle exec rubocop` も）。
+4. ビルド: `gem build s3_direct_multipart_upload.gemspec`。
+5. 公開: `gem push s3_direct_multipart_upload-<version>.gem`（環境変数 `RUBYGEMS_API_KEY` を設定しておく）。
+6. 確認: `gem info s3_direct_multipart_upload` などで公開バージョンを確認し、ローカル `.gem` は不要なら削除。
+補足: GitHub リポジトリは private 運用のため、利用者には `.gem` に同梱される README/SPEC/OPERATIONS/AGENTS/OpenAPI を参照してもらう。

data/README.md

@@ -0,0 +1,93 @@
+# S3DirectMultipartUpload ![CI](https://github.com/logmi/s3_direct_multipart_upload/actions/workflows/rubocop.yml/badge.svg?branch=main)
+
+Rails アプリに組み込み、S3 へのダイレクトマルチパートアップロード API を提供する mountable engine。認証・セッション管理はホストアプリケーション（`::ApplicationController` 由来の `before_action` 等）に委譲する。
+
+## 名称と対象範囲
+
+- この gem は、AWS S3 の「Multipart upload」機能に対して、アップロードセッション管理と presigned URL の払い出しを行うためのエンジンです。設計は AWS ドキュメント “Multipart upload overview”（<https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html>）で説明されている
+  `CreateMultipartUpload` → `UploadPart` → `CompleteMultipartUpload` のフローに対応しています。
+- 「direct」は、実データの転送がホストアプリケーションを経由せず、クライアントから S3 に対して直接 PUT される点（この gem は presigned URL だけを発行する）を指しています
+- 実装上、`byte_size` が 5MB 未満の場合は README 記載の通りマルチパートではなく単一の `PutObject` 用 presigned URL を返しますが、本 gem の主対象は「S3 Multipart upload を利用するようなサイズのオブジェクトを、クライアントから直接 S3 に送る」ケースです
+
+## 開発方針
+- 社内利用ツールを共有するために public repository としていますが、積極的な機能追加やサポートは想定していません。
+- Issue/PR は歓迎しますが、対応はベストエフォートです。
+- クリティカルな不具合やセキュリティ連絡は `develop@logmi.co.jp` までお願いします。
+
+## インストール（GitHub 公開リポジトリから利用する場合）
+Gemfile に以下を追加し、`bundle install` を実行する。
+
+```ruby
+gem 's3_direct_multipart_upload', github: 'logmi/s3_direct_multipart_upload'
+```
+
+## 導入手順
+1. ルーティングに `mount S3DirectMultipartUpload::Engine, at: '<お好みのパス>'` を追加する（`<mount_path>/s3_direct_multipart_uploads` 系のエンドポイントが有効になる）。
+2. `bin/rails s3_direct_multipart_upload:install:migrations` でマイグレーションをホストへコピーし、`bin/rails db:migrate` を実行する。
+
+## 設定
+- バケットやリージョンなどの S3 接続情報は、ホストアプリの `config/storage/{env}.yml` に定義した `s3_direct_multipart` サービスを参照する。
+  - 例 (production.yml):
+    ```yml
+    s3_direct_multipart:
+      service: S3
+      bucket: your-bucket
+      region: ap-northeast-1
+      endpoint: https://s3.ap-northeast-1.amazonaws.com # 任意
+      force_path_style: false # 必要に応じて
+    ```
+  - 例 (development/test):
+    ```yml
+    s3_direct_multipart:
+      service: Disk
+    ```
+  - `s3_direct_multipart` が未定義の場合は起動時に例外となる。
+- キープレフィックス: `uploads/s3_direct/yyyyMMdd/<session_uuid>` 形式で自動付与する。
+
+## セキュリティ・運用上の注意
+- エンジン側では `skip_forgery_protection` を有効化しており、認証/認可やレート制御はホストアプリの `::ApplicationController` 由来の before_action 等に委譲する前提です。CSRF 対策や利用権限チェックが必要な場合は mount 先で必ずガードを追加してください。
+- `UploadSession#expires_at` を設定するだけで、期限切れセッションのクリーンアップや `abort_multipart_upload` は未実装です。S3 上に未完了アップロードが蓄積しないよう、ホスト側で定期バッチを用意して後始末してください。
+
+## ファイルサイズとパート数の扱い
+- `chunk_size` は 5MB 以上を推奨し、5GB 以下に収めること（S3 制約）。`byte_size` に対して期待パート数が 10,000 を超える場合はアップロードを拒否します。
+- `byte_size` が 5MB 未満の場合はマルチパートを使わず単一パートとして扱い、1 件の presigned URL だけを返します（`chunk_size` は `byte_size` に自動調整）。
+
+## エンドポイント
+- `POST <mount_path>/s3_direct_multipart_uploads`
+- `POST <mount_path>/s3_direct_multipart_uploads/:upload_session_id/parts`
+- `POST <mount_path>/s3_direct_multipart_uploads/:upload_session_id/complete`
+
+レスポンス仕様は `doc/s3_direct_multipart_upload/api.yml` を参照。
+
+## ドキュメント導線
+- 仕様 (SoT): `SPEC.md`
+- 運用: `OPERATIONS.md`
+- 意思決定: `ADR/`
+- 実装ガイド: `AGENTS.md`
+- サンプルアプリ: https://github.com/logmi/s3_direct_multipart_upload_example （公開デモ用の最小実装）
+
+## 配布形態
+- Rubygems で公開（`gem 's3_direct_multipart_upload'`）。ソースリポジトリは現在 private なので、利用者は `.gem` に同梱されたドキュメント（README/SPEC/OPERATIONS/AGENTS と OpenAPI 定義）を参照してください。
+- GitHub の issue/PR はベストエフォート対応。問い合わせは README 冒頭のメールアドレスまで。
+
+## 開発・貢献のはじめかた
+- セットアップ: `bundle install` を実行（必要なら `gem update --system` で Rubygems を最新化）
+- 開発用設定: `config/storage/development.yml` / `config/storage/test.yml` にある `s3_direct_multipart` (Disk) を利用する前提で動くため追加設定は不要
+- テスト: `bundle exec rspec` を実行
+- マイグレーション: ホスト側では `bin/rails s3_direct_multipart_upload:install:migrations` → `bin/rails db:migrate` を実行
+
+## Disk サービス利用時の開発用エンドポイント
+- `service: Disk`（`stub_responses: true`）のまま presigned URL に対して PUT できるよう、開発/テスト環境限定で `PUT /s3_direct_multipart_upload/dev/storage/*path` を用意しています。
+- 環境変数:
+  - `S3_DIRECT_DEV_ENDPOINT`: presigned URL に埋め込むベース URL。未設定時は `http://localhost:3000`。
+  - `S3_DIRECT_DEV_SECRET`: 署名生成に使うシークレット。未設定時は `dev-secret`。
+- 使い方:
+  1. `ActiveStorage` の `s3_direct_multipart` を `service: Disk` で設定する。
+  2. `UploadSession#presigned_parts` が返す URL（クエリに `uploadId`, `partNumber`, `expires_at`, `signature` を含む）に対し、クライアントから `PUT` する。
+  3. リクエストボディは `tmp/s3_direct_multipart_upload/<object_key>.parts/<partNumber>` に保存され、`ETag` ヘッダーが返る。
+- 本番環境ではルート自体が無効になるため、開発専用の安全な代替として利用できます。
+- Disk + stub_responses 利用時の upload_id 重複対策: development/test では `config/initializers/s3_direct_dev.rb` で `create_multipart_upload` をユニークな `upload_id`（`SecureRandom.uuid`）で stub しています。既存セッションが残っている場合でも一意制約に抵触しなくなります。
+- ダウンロード確認: development/test では `UploadSession#complete!` 時にパートファイルを結合し、`tmp/s3_direct_multipart_upload/<object_key>` に単一ファイルを生成します。`GET /s3_direct_multipart_upload/dev/storage/:upload_session_id/download` にアクセスすると結合済みファイルを返します（completed セッションのみ許可、欠損時は 422）。
+
+## ライセンス
+MIT

data/SPEC.md

@@ -0,0 +1,62 @@
+# S3DirectMultipartUpload SPEC
+
+## 1. 目的と範囲
+- Rails エンジンとして提供する S3 へのダイレクトマルチパートアップロード API。
+- 主対象は 5MB 以上の大きなオブジェクトをクライアントから直接 S3 に送るケース。
+- 仕様の真実の源泉（SoT）は本ファイル。運用は OPERATIONS.md を参照。
+
+## 2. 外部依存
+- AWS S3（`create_multipart_upload`, `upload_part`, `complete_multipart_upload`）。
+- ActiveStorage のサービス設定 `s3_direct_multipart` を利用（`config/storage.yml` または `config/storage/<env>.yml`）。
+
+## 3. API
+### 3.1 POST /s3_direct_multipart_uploads
+- 入力: `filename`, `byte_size` (必須, >0), `content_type`, `chunk_size`（任意）。
+- 処理: Multipart Upload を開始し `upload_id` と各パートの presigned URL を返す。
+- バリデーション:
+  - `byte_size` > 0。
+  - `chunk_size` は 5MB 以上 5GB 以下。未指定時は 128MB。
+  - 期待パート数が 10,000 超なら 400（`part number limit exceeded`）。
+  - `byte_size` < 5MB の場合は単一パート扱いで `chunk_size = byte_size`。
+- 出力: `upload_session` オブジェクト（`id`, `upload_id`, `bucket`, `key_prefix`, `chunk_size`, `part_limit`, `parts[]`）。
+
+### 3.2 API 詳細
+- 本番 API の OpenAPI 定義は `doc/api.yml` を参照。
+- 開発専用 API の OpenAPI 定義は `doc/api_dev.yml` を参照（development/test 限定）。
+- 方針: 今後の API 変更時は OpenAPI ファイルを更新し、SPEC.md は参照先を維持して概要のみ記載する。
+- 検証: `bundle exec rspec spec/doc/openapi_spec.rb` で `doc/*.yml` を OpenAPIParser によるパース検証。
+- レスポンス契約チェック: RSpec の request spec で committee-rails を利用し、`doc/api.yml` / `doc/api_dev.yml` に対するスキーマ検証を行う（本番ミドルウェア適用はせず、テストで検知）。
+
+## 4. データモデル（主要フィールド）
+- UploadSession: `session_id`(uniq), `upload_id`(uniq), `bucket`, `key_prefix`, `filename`, `byte_size`, `content_type`, `chunk_size`, `status (pending/uploading/completed/aborted)`, `metadata(json)`, `expires_at`, `created_at/updated_at`。
+- UploadSessionPart: `upload_session_id`, `part_number`, `etag`, `uploaded_at`。
+- キープレフィックス: `uploads/s3_direct/yyyyMMdd/<session_uuid>/<filename>`。
+
+## 5. バリデーションと制約
+- 最小チャンク: 5MB。最大チャンク: 5GB。
+- パート数上限: 10,000。超過時は 400/422。
+- 単一パート条件: `byte_size` < 5MB → `chunk_size = byte_size` 必須。
+- `s3_direct_multipart` サービス設定が存在しない場合は起動時に例外。
+
+## 6. 開発モード固有挙動
+- `service: Disk` + `stub_responses: true` の場合、`create_multipart_upload` は毎回ユニーク `upload_id` を返す（stub）。
+- 開発用 PUT で保存されたパートは complete 時に結合し、`tmp/s3_direct_multipart_upload/<object_key>` に単一ファイルを生成。
+- ダウンロード API で結合済みファイルを返却（completed セッションのみ）。
+- 署名用環境変数:
+  - `S3_DIRECT_DEV_SECRET`（デフォルト `dev-secret`）
+  - `S3_DIRECT_DEV_ENDPOINT`（デフォルト `http://localhost:3000`）
+- S3 との挙動整合性: 開発用エンドポイントは S3 の PUT/UploadPart の表面挙動（200 + ETag、署名不正/期限切れは 403、存在しない/無効なリソースは 404/422）に寄せる。出典: [UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html), [PUT Object](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html), [署名エラー](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html#sigv4-query-string-auth-errors)。request spec でステータスとヘッダを検証し、OpenAPI (`doc/api_dev.yml`) と整合させている。
+
+## 7. エラーレスポンス方針（代表）
+- 400 Bad Request: 無効な `byte_size`/`chunk_size`/パート数上限超過。
+- 404 Not Found: セッション未存在、開発ルートの非 dev/test。
+- 409 Conflict: パーツ不足で complete。
+- 422 Unprocessable Content: 不正な `part_number`、完了/中断済み、開発ダウンロードで未完・欠損。
+
+## 8. 未実装・運用上の注意
+- 期限切れセッションのクリーンアップや `abort_multipart_upload` は未実装。ホスト側で定期バッチを用意すること。
+- 認証/認可・レート制御はホストアプリに委譲。エンジン側は `skip_forgery_protection`。
+
+## 9. 参考
+- API スキーマ: `doc/api.yml`
+- 設計メモ: `doc/specifications.md`

data/app/controllers/s3_direct_multipart_upload/application_controller.rb

@@ -0,0 +1,4 @@
+module S3DirectMultipartUpload
+  class ApplicationController < ::ApplicationController
+  end
+end

data/app/controllers/s3_direct_multipart_upload/dev/storage_controller.rb

@@ -0,0 +1,62 @@
+require "digest"
+require "fileutils"
+
+module S3DirectMultipartUpload
+  module Dev
+    class StorageController < ::S3DirectMultipartUpload::ApplicationController
+      skip_forgery_protection
+
+      before_action :ensure_dev_environment!
+      before_action :verify_signature!
+
+      def upload
+        body = request.raw_post
+        path = storage_path
+
+        FileUtils.mkdir_p(path.dirname)
+        File.binwrite(path, body)
+
+        response.headers["ETag"] = %("#{Digest::MD5.hexdigest(body)}")
+        head :ok
+      end
+
+      private
+
+      def ensure_dev_environment!
+        return if Rails.env.development? || Rails.env.test?
+
+        head :not_found
+      end
+
+      def verify_signature!
+        expires_at = Time.at(params.require(:expires_at).to_i)
+        head :forbidden and return if Time.current >= expires_at
+
+        expected = UploadSession.dev_signature(
+          path: normalized_path_param,
+          expires_at:,
+          upload_id: params[:uploadId],
+          part_number: params[:partNumber]
+        )
+
+        head :forbidden unless ActiveSupport::SecurityUtils.secure_compare(expected, params.require(:signature))
+      rescue KeyError, ActionController::ParameterMissing
+        head :forbidden
+      end
+
+      def storage_path
+        upload_root = Rails.root.join("tmp/s3_direct_multipart_upload")
+        base = upload_root.join(normalized_path_param)
+
+        part_number = params[:partNumber].presence&.to_i
+        return base if part_number.blank?
+
+        base.dirname.join("#{base.basename}.parts", part_number.to_s)
+      end
+
+      def normalized_path_param
+        params.require(:path).sub(/\A\//, "")
+      end
+    end
+  end
+end

data/app/controllers/s3_direct_multipart_upload/dev/storage_downloads_controller.rb

@@ -0,0 +1,44 @@
+module S3DirectMultipartUpload
+  module Dev
+    class StorageDownloadsController < ::S3DirectMultipartUpload::ApplicationController
+      skip_forgery_protection
+
+      before_action :ensure_dev_environment!
+      before_action :set_upload_session!
+
+      def show
+        return render json: { error: "upload is not completed" }, status: :unprocessable_content unless @upload_session.completed?
+
+        ensure_combined_file!
+        return render json: { error: "combined file is missing" }, status: :unprocessable_content unless dev_storage_path.exist?
+
+        send_file dev_storage_path, filename: @upload_session.filename, disposition: :inline, type: "application/octet-stream"
+      rescue RuntimeError => e
+        render json: { error: e.message }, status: :unprocessable_content
+      end
+
+      private
+
+      def ensure_dev_environment!
+        return if Rails.env.development? || Rails.env.test?
+
+        head :not_found
+      end
+
+      def set_upload_session!
+        @upload_session = ::S3DirectMultipartUpload::UploadSession.find_by(session_id: params[:upload_session_id])
+        render json: { error: "not found" }, status: :not_found unless @upload_session
+      end
+
+      def ensure_combined_file!
+        return if S3DirectMultipartUpload::Dev::Storage.combined_file_exist?(@upload_session)
+
+        S3DirectMultipartUpload::Dev::Storage.combine_parts(@upload_session)
+      end
+
+      def dev_storage_path
+        S3DirectMultipartUpload::Dev::Storage.combined_path(@upload_session)
+      end
+    end
+  end
+end

data/app/controllers/s3_direct_multipart_upload/upload_completions_controller.rb

@@ -0,0 +1,32 @@
+module S3DirectMultipartUpload
+  class UploadCompletionsController < ::S3DirectMultipartUpload::ApplicationController
+    skip_forgery_protection
+    before_action :set_upload_session
+
+    def create
+      @upload_session.complete!(checksum: complete_params[:checksum])
+      render json: {
+        upload_session: {
+          id: @upload_session.session_id,
+          status: @upload_session.status,
+          upload_id: @upload_session.upload_id
+        }
+      }
+    rescue ActiveRecord::RecordNotFound
+      render json: { error: "not found" }, status: :not_found
+    rescue RuntimeError => e
+      render json: { error: e.message }, status: :conflict
+    end
+
+    private
+
+    def complete_params
+      params.fetch(:upload, {}).permit(:checksum)
+    end
+
+    def set_upload_session
+      @upload_session = ::S3DirectMultipartUpload::UploadSession.find_by(session_id: params[:upload_session_id])
+      render json: { error: "not found" }, status: :not_found unless @upload_session
+    end
+  end
+end

data/app/controllers/s3_direct_multipart_upload/upload_parts_controller.rb

@@ -0,0 +1,29 @@
+module S3DirectMultipartUpload
+  class UploadPartsController < ::S3DirectMultipartUpload::ApplicationController
+    skip_forgery_protection
+    before_action :set_upload_session
+
+    def create
+      @upload_session.report_part!(
+        part_number: part_params.fetch(:part_number).to_i,
+        etag: part_params.fetch(:etag)
+      )
+      head :accepted
+    rescue ActiveRecord::RecordNotFound
+      render json: { error: "not found" }, status: :not_found
+    rescue ArgumentError, ActiveRecord::RecordInvalid => e
+      render json: { error: e.message }, status: :unprocessable_content
+    end
+
+    private
+
+    def part_params
+      params.require(:part).permit(:part_number, :etag)
+    end
+
+    def set_upload_session
+      @upload_session = ::S3DirectMultipartUpload::UploadSession.find_by(session_id: params[:upload_session_id])
+      render json: { error: "not found" }, status: :not_found unless @upload_session
+    end
+  end
+end

data/app/controllers/s3_direct_multipart_upload/upload_sessions_controller.rb

@@ -0,0 +1,46 @@
+module S3DirectMultipartUpload
+  class UploadSessionsController < ::S3DirectMultipartUpload::ApplicationController
+    skip_forgery_protection
+
+    def create
+      upload_session = ::S3DirectMultipartUpload::UploadSession.start!(
+        filename: upload_params.fetch(:filename),
+        byte_size: upload_params.fetch(:byte_size).to_i,
+        content_type: upload_params[:content_type],
+        chunk_size: upload_params[:chunk_size].presence&.to_i,
+        metadata: { "initiator_id" => session[:identity_id] }.compact
+      )
+
+      render json: serialize_session(upload_session), status: :created
+    rescue ArgumentError => e
+      render json: { error: e.message }, status: :bad_request
+    end
+
+    private
+
+    def upload_params
+      params.require(:upload).permit(:filename, :byte_size, :content_type, :chunk_size)
+    end
+
+    def serialize_session(session)
+      {
+        upload_session: {
+          id: session.session_id,
+          upload_id: session.upload_id,
+          bucket: session.bucket,
+          key_prefix: session.key_prefix,
+          chunk_size: session.chunk_size,
+          part_limit: session.part_limit,
+          parts: session.presigned_parts(part_numbers: suggested_part_numbers(session))
+        }
+      }
+    end
+
+    def suggested_part_numbers(session)
+      expected_parts = session.expected_parts
+      expected_parts = [ expected_parts, 1 ].max
+      expected_parts = [ expected_parts, session.part_limit ].min
+      Array.new(expected_parts) { |i| i + 1 }
+    end
+  end
+end