Laravel中的Form Request如何分离验证逻辑？ (控制器解耦)

Form Request 是 Laravel 分离验证逻辑的最佳实践，适用于多字段、自定义消息、权限检查及跨控制器复用场景；其生命周期为 authorize()→rules()→messages()→attributes()，需避免在 rules() 中直接调用 Auth::user()，应使用 $this->user() 或 $this->route()。

Form Request 是 laravel 中分离验证逻辑最直接有效的方式，它把规则、消息、授权判断全部从控制器里抽出来，让控制器只管业务流程。

什么时候该用 Form Request 而不是 validate()？

当一个请求涉及多个字段、自定义错误消息、前置权限检查（比如“仅管理员能提交”），或者同一套验证逻辑在多个控制器方法中复用时，FormRequest 就比内联 $request->validate() 更合适。

常见错误现象：控制器里反复写相似的 validate() 调用，或把 Rule::requiredif() 这类复杂规则硬塞进数组，可读性差、难测试、改一处漏一处。

• 需要对不同 http 方法（如 PUT vs POST）应用不同规则？→ 在 rules() 方法里用 $this->isMethod('post') 判断
• 要动态依赖数据库状态做验证（比如“邮箱不能与已存在用户重复”）？→ 用 Rule::unique('users')->ignore($this->user)，$this->user 来自路由模型绑定
• 想提前拒绝无权操作的请求？→ 重写 authorize() 方法，返回 false 会直接 403

FormRequest 的生命周期和关键方法

Laravel 在控制器方法执行前自动调用 authorize() → rules() → messages() → Attributes()。任一环节失败，请求就不会进控制器。

容易踩的坑：在 rules() 里直接调用 Auth::user() 或 request()->xxx，这不可靠——因为此时请求尚未完全解析，且 FormRequest 实例化早于中间件执行。应改用 $this->user()（Laravel 自动注入当前用户）或 $this->route('id') 获取路由参数。

• authorize()：返回布尔值，不抛异常；返回 false 触发 403
• rules()：必须返回数组；支持闭包规则（如 'price' => [function ($attribute, $value, $fail) { if ($value ）
• messages()：键名格式为 "field.rule"，例如 "email.required"；也可用通配符 "*.required"
• attributes()：用于替换字段名显示，如返回 ['email' => '邮箱地址']，错误消息里就显示“邮箱地址不能为空”

如何复用同一套验证逻辑到不同控制器？

把 FormRequest 当普通 php 类用：继承、组合、或在多个控制器方法参数中类型提示同一个类即可。不需要注册、不需要配置文件。

性能影响几乎为零——Laravel 只在真正需要时实例化它，且规则数组是惰性求值的（rules() 方法只在验证阶段调用）。

• 若两个接口都需要“创建用户”验证，但字段略有差异（比如后台多一个 is_active 字段），可建基类 StoreUserRequest，再分别继承出 ApiStoreUserRequest 和 AdminStoreUserRequest
• 不想继承？用 trait 封装通用规则逻辑，然后在各 rules() 中 return array_merge($this->baseRules(), [...]);
• 注意：不要在 rules() 里做耗时查询（如全表 count），验证应轻量；复杂校验逻辑建议移到 withValidator() 回调里，它接收 Validator 实例，支持 after() 钩子

class UpdateProfileRequest extends FormRequest {     public function authorize(): bool     {         return $this->user()->is($this->route('user'));     }      public function rules(): array     {         return [             'name' => ['required', 'string', 'max:255'],             'email' => [                 'required',                 'email',                 Rule::unique('users')->ignore($this->user()),             ],         ];     }      public function messages(): array     {         return [             'email.unique' => '该邮箱已被其他账户使用',         ];     } }

最关键的细节往往藏在 authorize() 和路由模型绑定的配合里：如果控制器方法签名是 update(UpdateProfileRequest $request, User $user)，那么 $this->route('user') 才能正确拿到模型实例；否则 ignore() 会失效，导致更新自己时也被判“邮箱重复”。