{
  "id": "add-cloudflare-r2-upload",
  "type": "playbooks",
  "category": "playbooks",
  "locale": "de",
  "url": "/de/playbooks/add-cloudflare-r2-upload",
  "title": "Prompt-zu-PR: Cloudflare R2 Dateiupload hinzufügen",
  "description": "Ende-zu-Ende SOP zum Einbinden vorab signierter R2-Uploads in eine Next.js- oder Cloudflare Workers-App – Bucket-Bindung, vorab signierte URLs und Client-Upload-Ablauf.",
  "tools": [
    "Cursor",
    "Claude Code",
    "Codex",
    "Windsurf"
  ],
  "stack": [
    "Next.js",
    "Cloudflare",
    "TypeScript"
  ],
  "tags": [
    "cloudflare",
    "nextjs",
    "typescript",
    "upload"
  ],
  "difficulty": "medium",
  "updated": "2026-06-08",
  "markdown": "Datei-Upload zu R2 hinzufügen, ohne Binärdaten über Ihren Server zu proxen. Der Agent generiert eine vorab signierte URL serverseitig; der Browser sendet per PUT direkt an R2.\n\n## 1. Anforderung\n\nBenutzer können Dateien (Bilder, PDFs, bis zu 10 MB) über eine Drag-and-Drop-Oberfläche hochladen. Der Server stellt eine vorab signierte PUT-URL aus; der Browser streamt die Datei direkt zu Cloudflare R2. Nach dem Upload wird eine öffentliche Lese-URL zurückgegeben. Keine Dateien passieren den Next.js-Server.\n\n## 2. Erster Prompt\n\n```txt title=\"First Prompt\"\nAdd Cloudflare R2 file upload to this Next.js 15 App Router project.\n\nRequirements:\n- Use presigned PUT URLs (not proxy upload). The Next.js route only issues\n  the presigned URL; the browser uploads directly to R2.\n- Install `@aws-sdk/client-s3` and `@aws-sdk/s3-request-presigner`\n  (R2 is S3-compatible).\n- Create `src/app/api/upload/presign/route.ts` (POST). Accept JSON body\n  `{ filename: string; contentType: string; size: number }`. Validate:\n  allowed MIME types (image/jpeg, image/png, image/webp, application/pdf),\n  max size 10 MB. Return `{ uploadUrl, publicUrl, key }`.\n- Read R2 credentials from env vars:\n    R2_ACCOUNT_ID, R2_ACCESS_KEY_ID, R2_SECRET_ACCESS_KEY,\n    R2_BUCKET_NAME, NEXT_PUBLIC_R2_PUBLIC_URL.\n- Create `src/components/FileUpload.tsx` — a Client Component with a\n  drag-and-drop zone. On file select: POST to /api/upload/presign, then\n  PUT the file to the returned uploadUrl with the correct Content-Type header.\n  Show progress, handle errors, and call an `onUpload(publicUrl)` callback.\n- Do not store the file in any database table; that is the caller's\n  responsibility via the onUpload callback.\n```\n\n## 3. Erwartete Dateiänderungen\n\n```txt\npackage.json                                (@aws-sdk/client-s3, @aws-sdk/s3-request-presigner)\nsrc/app/api/upload/presign/route.ts         (new — presign endpoint)\nsrc/components/FileUpload.tsx               (new — drag-and-drop client component)\nsrc/lib/r2.ts                               (new — S3Client singleton)\n.env.local.example                          (R2_* vars)\n```\n\n## 4. Checkliste zur Überprüfung\n\n- Der Presign-Endpunkt validiert MIME-Typ und Größe, bevor R2 aufgerufen wird – schlechte Uploads werden vor einem AWS-Aufruf abgelehnt.\n- Der `S3Client` in `src/lib/r2.ts` verwendet `endpoint: https://${R2_ACCOUNT_ID}.r2.cloudflarestorage.com` und `region: \"auto\"`.\n- Die Gültigkeit der vorab signierten URL ist kurz (60–300 Sekunden); nicht ein ganzer Tag.\n- Der `PUT` vom Browser enthält einen `Content-Type`-Header, der mit dem beim Signieren verwendeten übereinstimmt – Abweichungen verursachen 403.\n- `NEXT_PUBLIC_R2_PUBLIC_URL` zeigt auf die öffentliche Domain des Buckets, nicht auf den R2-API-Endpunkt.\n- `FileUpload.tsx` beginnt mit `\"use client\"` – keine Server-Imports.\n- Größen- oder Typüberprüfung erfolgt nicht nur clientseitig – der Server muss ebenfalls validieren.\n- Der Schlüssel verwendet ein zufälliges Präfix (z. B. `crypto.randomUUID()`), um Dateinamen-Kollisionen zu vermeiden.\n\n## 5. Testbefehle\n\n```bash\n# Start dev server\nbun dev\n\n# Test presign endpoint directly\ncurl -X POST http://localhost:3000/api/upload/presign \\\n  -H \"Content-Type: application/json\" \\\n  -d '{\"filename\":\"test.png\",\"contentType\":\"image/png\",\"size\":12345}' | jq .\n\n# Confirm returned uploadUrl is an R2 presigned URL (contains X-Amz-Signature)\n# Then PUT a real file to confirm end-to-end\ncurl -X PUT \"<uploadUrl>\" \\\n  -H \"Content-Type: image/png\" \\\n  --data-binary @test.png -v\n\n# Fetch the public URL to verify the file is readable\ncurl -I \"<publicUrl>\"\n```\n\n## 6. Häufige Fehler\n\n- **403 bei PUT** – Der `Content-Type`-Header im Browser-PUT stimmt nicht mit dem beim Signieren verwendeten überein. Stellen Sie sicher, dass beide exakt dieselbe Zeichenfolge verwenden.\n- **`NoSuchBucket`** – Falscher Bucket-Name oder Account-ID. Überprüfen Sie `R2_BUCKET_NAME` im Cloudflare-Dashboard.\n- **`InvalidAccessKeyId`** – Der R2-API-Token benötigt die Berechtigung \"Object Read & Write\", nicht nur \"Read\".\n- **CORS-Fehler bei direktem PUT** – Die CORS-Richtlinie des R2-Buckets muss `PUT` von Ihrer Ursprungsseite erlauben. Stellen Sie dies im Cloudflare-Dashboard unter R2 → Einstellungen → CORS ein.\n- **Agent verwendet `@aws-sdk/s3-presigned-post`** (für POST) anstelle von `getSignedUrl` für PUT – anderer Ablauf, anderer Client-Code erforderlich.\n\n## 7. Fix-Prompt\n\n```txt title=\"Fix Prompt\"\nThe browser PUT to R2 returns 403 SignatureDoesNotMatch.\n\nThe Content-Type passed to getSignedUrl must exactly match the Content-Type\nheader sent by the browser. Update the presign route to pass the contentType\nfrom the request body into getSignedUrl, and update FileUpload.tsx to set\nthe Content-Type header on the PUT request to the same value.\n\nAlso confirm the S3Client endpoint is:\n  https://${R2_ACCOUNT_ID}.r2.cloudflarestorage.com\nnot the generic AWS S3 endpoint.\n```\n\n## 8. PR-Beschreibung\n\n```md title=\"PR description\"\n## Feature: Cloudflare R2 file upload via presigned URLs\n\n- New POST `/api/upload/presign` validates MIME type and size, then returns\n  a short-lived R2 presigned PUT URL\n- Files upload directly from the browser to R2 — zero binary data through\n  the Next.js server\n- New `<FileUpload>` component: drag-and-drop, progress indicator, error state\n- Random UUID key prefix prevents filename collisions\n\n**Required env vars** (see `.env.local.example`):\n`R2_ACCOUNT_ID`, `R2_ACCESS_KEY_ID`, `R2_SECRET_ACCESS_KEY`,\n`R2_BUCKET_NAME`, `NEXT_PUBLIC_R2_PUBLIC_URL`\n\n**R2 bucket setup**: enable public access and add a CORS rule allowing PUT\nfrom your app origin.\n```"
}