validator 是 Go 字段级校验事实标准,通过 struct tag 声明规则,需先确保反序列化成功再校验;推荐复用全局 validator 实例,正确处理 map 表单、零值与前端不规范传参,并解析 ValidationErrors 返回字段级错误消息。
用 validator 包做结构体字段级校验最直接
Go 没有内置表单验证机制,但 validator(github.com/go-playground/validator/v10)是事实标准。它通过 struct tag 声明规则,配合 Validate().Struct() 触发校验,适合从 HTTP 请求解析后的结构体(如 json 或表单数据绑定结果)做集中校验。
常见错误是只校验非空却忽略类型安全——比如把字符串 "abc" 绑定到 int 字段,还没走到 validator 就 panic 了。务必先确保反序列化成功,再校验业务逻辑规则。
-
required表示字段不能为空(对 string 是非空,对 int 是非零值,对指针是非 nil) -
email、url、min=6、max=20等开箱即用 - 嵌套结构体用
structonly避免递归校验,或用dive显式下钻 - 自定义错误消息建议用
SetErrorTag统一设为msg,便于前端识别
type LoginForm struct {
Username string `json:"username" validate:"required,min=3,max=20"`
Password string `json:"password" validate:"required,min=8"`
Email string `json:"email" validate:"required,email"`
}
func handleLogin(w http.ResponseWriter, r *http.Request) {
var form LoginForm
if err := json.NewDecoder(r.Body).Decode(&form); err != nil {
http.Error(w, "invalid JSON", http.StatusBadRequest)
return
}
if err := validator.New().Struct(form); err != nil {
// 处理 validator.ValidationErrors 类型错误,提取字段+消息
http.Error(w, "validation failed", http.StatusBadRequest)
return
}
// 后续逻辑
}
处理 map[string][]string 类型的原始表单数据要手动拆解
当使用 r.ParseForm() 或 r.PostForm 时,得到的是 map[string][]string(因为一个 key 可能对应多个 value,比如复选框)。validator 不支持直接校验 map,必须先转成结构体或写校验逻辑。
容易踩的坑是误用 r.FormValue("name") ——它只取第一个值,而忽略同名多值场景;或者没处理空 slice 导致索引 panic。
立即学习“go语言免费学习笔记(深入)”;
- 对单值字段:用
r.FormValue("email")获取字符串,再手动校验格式 - 对多值字段(如
hobbies[]):用r.Form["hobbies"]得到[]string,再遍历每个值做required和长度检查 - 数字字段务必用
strconv.Atoi或strconv.ParseInt转换,失败时返回具体错误(不能只判err != nil就笼统报错)
并发请求下共享 validator.Validate 实例更安全高效
每次 new 一个 validator.Validate 实例看似无害,但内部会初始化大量反射缓存和正则编译结果。高并发时频繁 new 会导致内存抖动和 CPU 浪费。
官方文档明确建议复用单例。默认实例已预注册常用校验器(required、email 等),无需额外配置即可使用。
- 全局声明:
var validate = validator.New() - 不要在 handler 内调用
validator.New() - 若需自定义校验函数(如手机号),用
validate.RegisterValidation注册一次即可,所有 goroutine 共享 - 注意:
RegisterValidation必须在服务启动时完成,不能在 handler 中动态注册
前端传参不规范时,omitempty 和零值陷阱必须主动应对
JSON 中字段缺失(omitempty)和字段存在但为零值(""、0、false)在 Go 结构体中表现不同,但前端往往不区分。比如密码字段传 {"password": ""},required 校验会失败;而传 {},则因 omitempty 被忽略,required 也不触发。
真正健壮的表单校验得兼顾这两种情况:既要防空提交,也要防“假存在”(字段有但无效)。
- 对敏感字段(密码、确认密码),强制要求前端传非空字符串,后端用
required+min=8即可 - 对可选字段(如用户昵称),用指针类型
*string,再配合required_if或自定义校验判断是否“有意留空” - 避免用
omitempty控制校验逻辑,它只影响序列化,不改变校验行为
"validation failed",要把 validator.ValidationErrors 解析成 map[string]string,让前端能按字段展示对应提示。 
