Python接口数据校验核心是精准拦截非法输入,用Pydantic定义请求模型实现类型与业务规则校验,分层处理参数级、业务级和外部依赖级验证,并统一返回前端友好的错误结构。
Python接口数据校验的核心,是提前拦截非法、缺失或格式错误的输入,避免后续逻辑因脏数据崩溃或产生错误结果。关键不在于“全量检查”,而在于“精准拦截”——在数据进入业务层之前,用轻量、可维护的方式完成必要验证。
用 Pydantic 定义请求模型,自动完成基础校验
Pydantic 是目前最主流的 Python 数据校验工具,它通过类型注解 + 验证规则,在实例化对象时就抛出清晰错误,无需手动写 if 判断。
- 定义一个 RequestModel 类,字段类型即校验依据(如 str 拒绝 None 或 int,int 拒绝字符串 "123abc")
- 用 @field_validator 添加业务级约束(如手机号长度、邮箱格式、金额不能为负)
- FastAPI / Flask-RESTx 等框架可直接将该模型作为参数,自动解析并校验 JSON 请求体
对空值、None、空字符串做显式防御
很多脏数据不是格式错,而是“看起来合法但语义无效”:比如 {"name": ""} 或 {"user_id": null}。Pydantic 默认允许 None(除非字段标注为 str 而非 Optional[str]),需主动干预:
- 字段声明为 str(非 Optional)→ 自动拒绝 None 和空字符串(配合 min_length=1)
- 对必须为正数的字段,用 conint(gt=0) 或 Field(gt=0)
- 对可能为空但业务上不允许的字段,加自定义 validator 返回 ValueError
区分校验层级:参数级 → 业务级 → 外部依赖级
不是所有检查都该放在同一层。合理分层让代码更健壮也更易调试:
立即学习“Python免费学习笔记(深入)”;
- 参数级:字段存在性、类型、基本格式(Pydantic 负责)
- 业务级:如“下单时库存是否充足”、“用户是否已实名”——这类需查数据库或调内部服务,放在 service 层,不塞进模型
- 外部依赖级:如第三方支付回调中的 sign 校验、timestamp 时效性——应在接收入口单独处理,失败直接 400/401,不进主流程
返回友好的错误提示,别暴露内部细节
校验失败时,不要返回原始 Pydantic 错误(含字段路径、Python 类型等),而应统一转换为前端可读的结构:
- 捕获 ValidationError,遍历 exc.errors() 提取 loc(字段名)、msg(简明提示)
- 组装成类似 {"code": 400, "message": "请求参数错误", "details": [{"field": "mobile", "reason": "手机号格式不正确"}]}
- 生产环境关闭 traceback,避免泄露字段名、路径或服务结构
