最合理是将校验逻辑提前到中间件或封装的 ParseAndValidate 函数中,使 handler 专注业务;需统一错误格式、严格状态码语义、避免重复读取 r.Body,并用 go-playground/validator 结合自定义配置与翻译实现精准字段级校验。
用 net/http 原生处理时,校验逻辑写在哪最合理
直接在 handler 函数里做校验是最常见也最容易失控的做法。问题在于:重复代码多、错误返回不统一、类型转换和校验混在一起,后续加日志或监控也难插手。
推荐把校验逻辑提前到中间件或封装的 ParseAndValidate 函数里,让 handler 只专注业务。比如接收 JSON 请求时,先用 json.NewDecoder(r.Body).Decode(&v) 解码,再调用 v.Validate()(如果用了结构体标签校验)。
- 不要在 decode 前就读
r.Body多次——r.Body是单次读取流,重复读会丢数据 - 对
query参数,用r.URL.Query().Get("id")拿值,但注意它返回string,需手动转int或time.Time,失败要立即返回 400 - 路径参数(如
/user/{id})从chi.URLParam(r, "id")或gorilla/mux的Vars(r)["id"]获取,同样要校验非空和格式
用 go-playground/validator 做结构体校验的关键配置点
这个库是 Go 生态事实标准,但默认行为容易踩坑:比如空字符串不触发 required、嵌套结构体不自动校验、自定义错误信息难统一。
初始化时必须设置 Validate.RegisterValidation 注册自定义规则,并用 Validate.SetTagName 改为 validate(避免和 json 标签冲突)。结构体字段推荐这样写:
立即学习“go语言免费学习笔记(深入)”;
type CreateUserRequest struct {
Name string `json:"name" validate:"required,min=2,max=20"`
Age int `json:"age" validate:"required,gte=1,lte=150"`
Email string `json:"email" validate:"required,email"`
}
-
omitempty和required别混用——前者跳过空值校验,后者强制非零值,两者同时存在会导致逻辑矛盾 - 时间字段别直接用
time.Time接收字符串,先用string接,再在 Validate 方法里解析并校验格式(如2006-01-02) - 数组或 map 字段加
dive,例如Tags []string `validate:"required,dive,min=1,max=5"`,否则只校验 slice 是否为空
校验失败时怎么返回一致的错误格式
前端需要明确的字段名和错误原因,而不是笼统的 “invalid request”。直接 http.Error(w, "bad request", http.StatusBadRequest) 完全不够用。
建议定义统一错误响应结构,例如:
type ErrorResponse struct {
Code int `json:"code"`
Message string `json:"message"`
Errors map[string]string `json:"errors,omitempty"`
}
校验失败时,遍历 err.(validator.ValidationErrors),把每个字段的 Field() 和 Tag() 映射成用户友好的提示(如 "name" → "用户名"),填入 Errors map。
- 别把原始 tag 名(如
gte)直接返回给前端,要翻译成中文提示,比如"年龄不能小于1" - HTTP 状态码严格按语义:400 用于参数错,422 用于语义错(如“用户名已存在”),别全用 400
- 对部分字段校验失败,仍应返回全部错误项,而不是遇到第一个就中断
URL 查询参数和表单数据的特殊处理
application/x-www-form-urlencoded 和 multipart/form-data 都走 r.ParseForm(),但它们的值都是 []string 类型,即使字段只传一个值。直接用 r.FormValue("id") 会隐式取第一个,掩盖多值问题。
更稳妥的方式是:vals := r.Form["id"]; if len(vals) == 0 { ... },再手动转类型。尤其注意布尔值——HTML 表单没有 true/false 概念,勾选才传值,未勾选不传,所以 bool 字段必须用指针或自定义类型处理。
-
ParseMultipartForm要设内存阈值(如32 ),否则大文件上传会直接 OOM - 查询参数中带
%或+会被自动解码,但若前端没编码好(比如传了未 encode 的空格),FormValue可能返回空字符串,需检查原始r.URL.RawQuery - 所有来自 URL、Header、Form 的输入都视为不可信,校验不能只靠类型转换,必须包含范围、长度、正则等业务规则
validator 和 HTTP 生命周期串起来那一步——解码、校验、错误收集、响应组装,这四步缺一不可,顺序也不能错。 
