最合理是将校验逻辑提前到中间件或封装的 ParseAndValidate 函数中,使 handler 专注业务;需统一错误格式、严格状态码语义、避免重复读取 r.Body,并用 go-playground/validator 结合自定义配置与翻译实现精准字段级校验。
net/http 原生处理时,校验逻辑写在哪最合理直接在 handler 函数里做校验是最常见也最容易失控的做法。问题在于:重复代码多、错误返回不统一、类型转换和校验混在一起,后续加日志或监控也难插手。
推荐把校验逻辑提前到中间件或封装的 ParseAndValidate 函数里,让 handler 只专注业务。比如接收 JSON 请求时,先用 json.NewDecoder(r.Body).Decode(&v) 解码,再调用 v.Validate()(如果用了结构体标签校验)。
r.Body 多次——r.Body 是单次读取流,重复读会丢数据query 参数,用 r.URL.Query().Get("id") 拿值,但注意它返回 string,需手动转 int 或 time.Time,失败要立即返回 400/user/{id})从 chi.URLParam(r, "id") 或 gorilla/mux 的 Vars(r)["id"] 获取,同样要校验非空和格式go-play
ground/validator 做结构体校验的关键配置点这个库是 Go 生态事实标准,但默认行为容易踩坑:比如空字符串不触发 required、嵌套结构体不自动校验、自定义错误信息难统一。
初始化时必须设置 Validate.RegisterValidation 注册自定义规则,并用 Validate.SetTagName 改为 validate(避免和 json 标签冲突)。结构体字段推荐这样写:
type CreateUserRequest struct {
Name string `json:"name" validate:"required,min=2,max=20"`
Age int `json:"age" validate:"required,gte=1,lte=150"`
Email string `json:"email" validate:"required,email"`
}
omitempty 和 required 别混用——前者跳过空值校验,后者强制非零值,两者同时存在会导致逻辑矛盾time.Time 接收字符串,先用 string 接,再在 Validate 方法里解析并校验格式(如 2006-01-02)dive,例如 Tags []string `validate:"required,dive,min=1,max=5"`,否则只校验 slice 是否为空前端需要明确的字段名和错误原因,而不是笼统的 “invalid request”。直接 http.Error(w, "bad request", http.StatusBadRequest) 完全不够用。
建议定义统一错误响应结构,例如:
type ErrorResponse struct {
Code int `json:"code"`
Message string `json:"message"`
Errors map[string]string `json:"errors,omitempty"`
}
校验失败时,遍历 err.(validator.ValidationErrors),把每个字段的 Field() 和 Tag() 映射成用户友好的提示(如 "name" → "用户名"),填入 Errors map。
gte)直接返回给前端,要翻译成中文提示,比如 "年龄不能小于1"
application/x-www-form-urlencoded 和 multipart/form-data 都走 r.ParseForm(),但它们的值都是 []string 类型,即使字段只传一个值。直接用 r.FormValue("id") 会隐式取第一个,掩盖多值问题。
更稳妥的方式是:vals := r.Form["id"]; if len(vals) == 0 { ... },再手动转类型。尤其注意布尔值——HTML 表单没有 true/false 概念,勾选才传值,未勾选不传,所以 bool 字段必须用指针或自定义类型处理。
ParseMultipartForm 要设内存阈值(如 32 ),否则大文件上传会直接 OOM
% 或 + 会被自动解码,但若前端没编码好(比如传了未 encode 的空格),FormValue 可能返回空字符串,需检查原始 r.URL.RawQuery
validator 和 HTTP 生命周期串起来那一步——解码、校验、错误收集、响应组装,这四步缺一不可,顺序也不能错。