goroutine 中的 panic 必须在内部用 recover 捕获,因为 panic 不跨协程传播,子协程 panic 后静默退出,主协程不受影响但可能导致数据丢失、资源泄漏、任务中断且无日志;recover 仅在本协程 defer 中有效,需配合 debug.Stack() 结构化记录并及时退出,不可继续执行业务逻辑。
recover 捕获因为 Go 的 panic 不会跨 goroutine 传播——子协程 panic 后,主协程照常运行,但该子协程会静默退出。表面看程序“没崩”,实则可能已丢失数据、泄漏文件句柄、中断定时任务,且无日志可查。更危险的是:某些 runtime 场景下(如未捕获的 panic 发生在非 main 协程但主线程很快退出),整个进程仍会终止。
recover 只在当前 goroutine 的 defer 函数中调用才有效;写在普通逻辑里或别的 goroutine 里,返回 nil
defer,不会触发其他协程的 deferps 还活着,但 worker 数悄悄少了 3 个defer + recover 模板不能只打印一句“捕获到 panic”,否则堆栈丢失、上下文不清、无法定位是哪个请求/任务出的问题。标准做法是立刻获取完整堆栈并结构化记录。
go func() {
defer func() {
if r := recover(); r != nil {
// 获取 panic 值和堆栈
stack := debug.Stack()
log.Printf("panic recovered in worker: %v\n%s", r, stack)
// 上报监控、触发告警等可在此扩展
}
}()
doSomethingRisky()
}()
debug.Stack()(不是 debug.PrintStack()),前者返回 []byte 可写入日志字段,后者直接输出到 stderr,难以统一收集recover 后继续执行业务逻辑——状态很可能已不一致;应记录后退出,或按需重启该 workerdefer + recover ——封装 goSafe 函数每个 go 都手动包一层 defer 易漏、难维护。推荐封装一个通用启动函数,自动注入 recover 逻辑,并支持传入 context.Context 和日志实例。
func goSafe(ctx context.Context, logger *log.Logger, f func()) {
go func() {
defer func() {
if r := recover(); r != nil {
stack := debug.Stack()
logger.Printf("panic in safe goroutine: %v\n%s", r, stack)
// 可选:上报 metric、触发告警、发送到 error channel
}
}()
f()
}()
}
goSafe(ctx, logger, func() { handleMsg(msg) }),简洁且无遗漏风险cancel()(配合 context.WithCancel)errCh := make(chan error) 会导致所有出错 goroutine 在 send 时永久阻塞recover,哪些不该用recover 不是兜底银弹,它解决的是“运行时崩溃防护”,不是“业务错误处理”。滥用会掩盖真实 bug,让本该失败的流程静默继续。
http.HandlerFunc 内部、长期运行的 for range time.Tick 循环、第三方 SDK 回调、反射调用、插件加载等不确定代码块json.Unmarshal 失败、数据库 Rows.Scan 错误)——这些该用 error 返回并由上层决策init 函数、包级变量初始化中发生的 panic 无法被任何 recover 捕获,会直接终止进程recover,而是在 panic 发生后判断:这个协程还能安全继续吗?资源是否已泄漏?状态是否已损坏?这时候堆栈只是起点,上下文(trace ID、输入参数、时间戳)和后续动作(降级、重试、告警)才是关键。