在 FormRequest 中写验证逻辑最稳妥,因其更易复用、测试,并天然支持授权;需通过 artisan 命令生成,实现 authorize()、rules()、messages() 和 attributes() 方法,控制器中类型提示即可自动验证。
直接在 FormRequest 里写验证逻辑是最稳妥的方式,比在控制器里用 validate() 更易复用、更易测试,也天然支持授权(authorize() 方法)。
怎么创建和注册自定义 FormRequest
用 Artisan 命令生成最省事:
php artisan make:request StorePostRequest
生成的类默认放在 app/Http/Requests/ 下。关键点有三个:
-
authorize()返回false会直接中断请求并返回 403,适合做权限判断(比如“只有作者才能编辑”) -
rules()必须返回数组,键是字段名,值是规则字符串或数组(如'title' => 'required|string|max:255'或'email' => ['required', 'email', 'unique:users']) - 别忘了在控制器方法参数中类型提示它,Laravel 会自动实例化并执行验证:
public function store(StorePostRequest $request)
怎么在 FormRequest 中复用已有规则或加条件验证
很多场景不是简单写死规则,比如“仅当 status 是 draft 时 title 可为空”,这时不能只靠数组规则表达:
- 用
Rule::requiredIf()、Rule::sometimes()等辅助类,它们属于Illuminate\Validation\Rule - 在
rules()方法里写逻辑判断更清晰,比如:return [ 'title' => $this->status === 'draft' ? 'nullable|string' : 'required|string', ]; - 注意:不要在
rules()里调用$request->input()—— 此时原始输入还没经过过滤,应直接用$this->status(FormRequest会自动代理所有 input 键)
怎么添加自定义错误消息或翻译
默认错误消息来自语言包,但字段名和提示常不够贴切:
- 重写
messages()方法,返回字段+规则维度的提示,例如:return ['title.required' => '标题不能为空哦']; - 重写
attributes()方法统一改字段别名,避免重复写:return ['title' => '文章标题', 'content' => '正文内容']; - 如果项目开了多语言,别硬编码中文,把文案放到
resources/lang/zh/validation.php的attributes和custom数组里更规范
为什么 validate() 在控制器里有时不生效或报错
常见于手动调用 $request->validate() 时出问题:
- 传入的规则数组键名必须和实际提交字段完全一致(包括嵌套字段如
user.name),否则规则被忽略 - 如果用了
withValidator()扩展验证器(比如加 after 回调),它只在FormRequest中有效,在控制器里调validate()不会触发 - 控制器里验证失败默认跳回上一页,但 API 场景需要 JSON 响应 —— 此时务必用
FormRequest,或手动 catchValidationException并 return response()->json()
真正麻烦的是嵌套数组验证(比如 tags.*.name)和存在性检查(exists:posts,id,category_id,1)的组合,这时候光靠字符串规则容易漏条件,建议拆成 Rule::exists() 链式调用,并在 withValidator() 里补业务级校验逻辑。
