Form Request 是 Laravel 分离验证逻辑的最佳实践,适用于多字段、自定义消息、权限检查及跨控制器复用场景;其生命周期为 authorize()→rules()→messages()→attributes(),需避免在 rules() 中直接调用 Auth::user(),应使用 $this->user() 或 $this->route()。
Form Request 是 Laravel 中分离验证逻辑最直接有效的方式,它把规则、消息、授权判断全部从控制器里抽出来,让控制器只管业务流程。
什么时候该用 Form Request 而不是 validate()?
当一个请求涉及多个字段、自定义错误消息、前置权限检查(比如“仅管理员能提交”),或者同一套验证逻辑在多个控制器方法中复用时,FormRequest 就比内联 $request->validate() 更合适。
常见错误现象:控制器里反复写相似的 validate() 调用,或把 Rule::requiredIf() 这类复杂规则硬塞进数组,可读性差、难测试、改一处漏一处。
- 需要对不同 HTTP 方法(如 PUT vs POST)应用不同规则?→ 在
rules()方法里用$this->isMethod('post')判断 - 要动态依赖数据库状态做验证(比如“邮箱不能与已存在用户重复”)?→ 用
Rule::unique('users')->ignore($this->user),$this->user来自路由模型绑定 - 想提前拒绝无权操作的请求?→ 重写
authorize()方法,返回false会直接 403
FormRequest 的生命周期和关键方法
Laravel 在控制器方法执行前自动调用 authorize() → rules() → messages() → attributes()。任一环节失败,请求就不会进控制器。
容易踩的坑:在 rules() 里直接调用 Auth::user() 或 request()->xxx,这不可靠——因为此时请求尚未完全解析,且 FormRequest 实例化早于中间件执行。应改用 $this->user()(Laravel 自动注入当前用户)或 $this->route('id') 获取路由参数。
-
authorize():返回布尔值,不抛异常;返回false触发 403 -
rules():必须返回数组;支持闭包规则(如'price' => [function ($attribute, $value, $fail) { if ($value ) -
messages():键名格式为"field.rule",例如"email.required";也可用通配符"*.required" -
attributes():用于替换字段名显示,如返回['email' => '邮箱地址'],错误消息里就显示“邮箱地址不能为空”
如何复用同一套验证逻辑到不同控制器?
把 FormRequest 当普通 PHP 类用:继承、组合、或在多个控制器方法参数中类型提示同一个类即可。不需要注册、不需要配置文件。
性能影响几乎为零——Laravel 只在真正需要时实例化它,且规则数组是惰性求值的(rules() 方法只在验证阶段调用)。
- 若两个接口都需要“创建用户”验证,但字段略有差异(比如后台多一个
is_active字段),可建基类StoreUserRequest,再分别继承出ApiStoreUserRequest和AdminStoreUserRequest - 不想继承?用 trait 封装通用规则逻辑,然后在各
rules()中return array_merge($this->baseRules(), [...]); - 注意:不要在
rules()里做耗时查询(如全表 count),验证应轻量;复杂校验逻辑建议移到withValidator()回调里,它接收Validator实例,支持after()钩子
class UpdateProfileRequest extends FormRequest
{
public function authorize(): bool
{
return $this->user()->is($this->route('user'));
}
public function rules(): array
{
return [
'name' => ['required', 'string', 'max:255'],
'email' => [
'required',
'email',
Rule::unique('users')->ignore($this->user()),
],
];
}
public function messages(): array
{
return [
'email.unique' => '该邮箱已被其他账户使用',
];
}
}
最关键的细节往往藏在 authorize() 和路由模型绑定的配合里:如果控制器方法签名是 update(UpdateProfileRequest $request, User $user),那么 $this->route('user') 才能正确拿到模型实例;否则 ignore() 会失效,导致更新自己时也被判“邮箱重复”。
