Laravel 的 FormRequest 是推荐替代 $request->validate() 的标准做法,适用于规则复用、授权控制、自定义错误响应或含复杂逻辑的场景;需重写 authorize() 和 rules() 方法,并通过类型提示自动注入使用。
直接说结论:Laravel 的 FormRequest 不是“可选的验证方式”,而是推荐在控制器方法中替代手写 $request->validate() 的标准做法——前提是你的表单逻辑有复用性、需授权控制或要集中管理规则。
什么时候该用 FormRequest 而不是 $request->validate()
不是所有表单都值得单独建一个类。以下情况才建议拆出 FormRequest:
- 同一个验证规则被多个控制器方法调用(比如后台和 API 都要创建用户)
- 需要在验证前做权限判断(例如
authorize()中检查当前用户能否编辑该资源) - 验证失败时要自定义错误响应格式(如返回 JSON 而非重定向)
- 规则里包含复杂逻辑(如“当
status为 draft 时,publish_at必须为空”),放rules()方法里比塞进控制器更清晰
如何生成并配置一个 StorePostRequest
运行 Artisan 命令生成类:
php artisan make:request StorePostRequest
生成后需手动修改两个关键方法:
-
authorize():返回true允许继续,false直接 403;常用来查Auth::user()->can('create', Post::class) -
rules():返回规则数组,字段名必须与前端提交的键一致;支持闭包、Rule::exists()等高级用法
示例:
public function rules()
{
return [
'title' => 'required|string|max:255',
'content' => 'required|string',
'category_id' => 'required|exists:categories,id',
'tags' => 'array',
'tags.*' => 'string|exists:tags,name',
];
}
在控制器中使用 FormRequest 的正确姿势
不要手动实例化,也不要传 Request 再调 validate() —— Laravel 会自动注入并触发验证流程:
public function store(StorePostRequest $request)
{
// 此处 $request 已通过验证,且 authorize() 已执行
$post = Post::create($request->validated());
return redirect()->route('posts.index');
}
注意几个易错点:
- 参数类型提示必须是具体的
FormRequest子类,不能是Request或FormRequest父类 -
$request->validated()只返回通过规则的字段,比$request->all()更安全 - 若需获取原始输入(包括未通过验证的字段),用
$request->all(),但需自行过滤 - 验证失败默认重定向回上一页(带错误和旧输入),API 场景下会返回 JSON 错误,无需额外处理
常见问题:为什么 authorize() 总返回 false?
这是最常被忽略的一环。Laravel 默认实现是 return false;,你必须显式改写:
public function authorize()
{
// 比如只允许管理员创建文章
return Auth::check() && Auth::user()->is_admin;
}
如果忘记改,所有请求都会被拦截并返回 403,且不报具体错误——日志里也看不到验证失败记录,容易误判为路由或中间件问题。
另外,authorize() 在验证规则执行前就运行,所以它不能依赖 $request->input() 中的值(除非你确认该字段一定存在且已通过初步过滤)。
