API 在執(zhí)行過程中的一個基本任務(wù)是數(shù)據(jù)驗證。 在本文中,我想向你展示如何為你的數(shù)據(jù)添加防彈驗證,同時返回風(fēng)格良好的格式。
在 Node.js 中進(jìn)行自定義數(shù)據(jù)驗證既不容易也不快。 為了覆蓋所有類型的數(shù)據(jù),需要寫許多函數(shù)。 雖然我已經(jīng)嘗試了一些 Node.js 的表單庫 ―― Express 和 Koa ――他們從未滿足我的項目需求。 這些擴展庫要么不兼容復(fù)雜的數(shù)據(jù)結(jié)構(gòu),要么在異步驗證出現(xiàn)問題。
使用 Datalize 在 Node.js 中進(jìn)行表單驗證
這就是為什么我最終決定編寫自己的小巧而強大的表單驗證庫的原因,它被稱為 datalize。 它是可擴展的,因此你可以在任何項目中使用它,并根據(jù)你的要求進(jìn)行自定義。 它能夠驗證請求的正文、查詢或參數(shù),還支持async 過濾器和復(fù)雜的JSON結(jié)構(gòu),如 數(shù)組 或 嵌套對象。
Github:https://github.com/flowstudio/datalize
配置
Datalize可以通過npm安裝:
npm install --save datalize
要解析請求的正文,你應(yīng)該使用其他的庫。 如果你還沒有用過,我建議使用 koa-body for Koa 或 body-parser for Express。
你可以將本教程用于已配置好的HTTP API服務(wù)器,也可以使用以下簡單的Koa HTTP服務(wù)器代碼。
const Koa = require('koa');const bodyParser = require('koa-body');const app = new Koa();const router = new (require('koa-router'))();// helper for returning errors in routesapp.context.error = function(code, obj) {this.status = code;this.body = obj;};// add koa-body middleware to parse JSON and form-data bodyapp.use(bodyParser({enableTypes: ['json', 'form'],multipart: true,formidable: {maxFileSize: 32 * 1024 * 1024,}}));// Routes...// connect defined routes as middleware to Koaapp.use(router.routes());// our app will listen on port 3000app.listen(3000);console.log('🌍 API listening on 3000');但是,這不是生產(chǎn)環(huán)境下的設(shè)置(你還應(yīng)該使用logging,強制 授權(quán), 錯誤處理等),不過這幾行代碼用于向你正常展示后面的例子足夠了。
注意:所有代碼示例都基于 Koa,但數(shù)據(jù)驗證代碼也同樣適用于 Express。 datalize 庫還有一個實現(xiàn) Express 表單驗證的例子。
一個基本的Node.js表單驗證案例
假設(shè)你的 API 中有一個 Koa 或 Express Web 寫的服務(wù)和一個端點,用于在數(shù)據(jù)庫中創(chuàng)建包含多個字段的用戶數(shù)據(jù)。其中某些字段是必需的,有些字段只能具有特定值,或者必須格式化為正確的類型。
你可以像這樣寫一個簡單的邏輯:
/** * @api {post} / Create a user * ... */router.post('/', (ctx) => { const data = ctx.request.body; const errors = {}; if (!String(data.name).trim()) { errors.name = ['Name is required']; } if (!(/^[/-0-9a-zA-Z/./+_]+@[/-0-9a-zA-Z/./+_]+/.[a-zA-Z]{2,}$/).test(String(data.email))) { errors.email = ['Email is not valid.']; } if (Object.keys(errors).length) { return ctx.error(400, {errors}); } const user = await User.create({ name: data.name, email: data.email, }); ctx.body = user.toJSON();});下面讓我們重寫這段代碼并使用 datalize 驗證這個請求:
const datalize = require('datalize');const field = datalize.field;/** * @api {post} / Create a user * ... */router.post('/', datalize([ field('name').trim().required(), field('email').required().email(),]), (ctx) => { if (!ctx.form.isValid) { return ctx.error(400, {errors: ctx.form.errors}); } const user = await User.create(ctx.form); ctx.body = user.toJSON();});短小精悍并易于閱讀。 使用 datalize,你可以指定字段列表,并為它們鏈接盡可能多的規(guī)則(用于判斷輸入是否有效并拋出錯誤的函數(shù))或過濾器(用于格式化輸入的函數(shù))。
規(guī)則和過濾器的執(zhí)行順序與它們定義的順序相同,所以如果你想要先切分含有空格的字符串,然后再檢查它是否有值,則必須在 .trim() 之前定義 .required()。
然后,Datalize 將只使用你指定的字段創(chuàng)建一個對象(在更廣泛的上下文對象中以 .form 形式提供),因此你不必再次列出它們。 .form.isValid 屬性會告訴你驗證是否成功。
自動錯誤處理
如果我們不想檢查表單是否對每個請求都有效,可以添加一個全局中間件,如果數(shù)據(jù)未通過驗證,則取消請求。
為此,我們只需將這段代碼添加到我們創(chuàng)建的 Koa / Express 應(yīng)用實例的 bootstrap 文件中。
const datalize = require('datalize');// set datalize to throw an error if validation failsdatalize.set('autoValidate', true);// only Koa// add to very beginning of Koa middleware chainapp.use(async (ctx, next) => { try { await next(); } catch (err) { if (err instanceof datalize.Error) { ctx.status = 400; ctx.body = err.toJSON(); } else { ctx.status = 500; ctx.body = 'Internal server error'; } }});// only Express// add to very end of Express middleware chainapp.use(function(err, req, res, next) { if (err instanceof datalize.Error) { res.status(400).send(err.toJSON()); } else { res.send(500).send('Internal server error'); }});而且我們不必檢查數(shù)據(jù)是否有效,因為 datalize 將幫我們做到這些。 如果數(shù)據(jù)無效,它將返回帶有無效字段列表的格式化錯誤消息。
查詢驗證
是的,你甚至可以非常輕松地驗證查詢參數(shù)――它不僅僅用于POST請求。 我們也可以只使用.query()輔助方法,唯一的區(qū)別是數(shù)據(jù)存儲在 .data 對象而不是 .form 中。
const datalize = require('datalize');const field = datalize.field;/** * @api {get} / List users * ... */router.post('/', datalize.query([ field('keywords').trim(), field('page').default(1).number(), field('perPage').required().select([10, 30, 50]),]), (ctx) => { const limit = ctx.data.perPage; const where = { }; if (ctx.data.keywords) { where.name = {[Op.like]: ctx.data.keywords + '%'}; } const users = await User.findAll({ where, limit, offset: (ctx.data.page - 1) * limit, }); ctx.body = users;});還有一個輔助方法用于參數(shù)驗證:.params()。 通過在路由的 .post() 方法中傳遞兩個 datalize 中間件,可以同時對查詢和表單數(shù)據(jù)進(jìn)行驗證。
更多過濾器,數(shù)組和嵌套對象
到目前為止,我們在 Node.js 表單驗證中使用了非常簡單的數(shù)據(jù)。 現(xiàn)在讓我們嘗試一些更復(fù)雜的字段,如數(shù)組,嵌套對象等:
const datalize = require('datalize');const field = datalize.field;const DOMAIN_ERROR = "Email's domain does not have a valid MX (mail) entry in its DNS record";/** * @api {post} / Create a user * ... */router.post('/', datalize([ field('name').trim().required(), field('email').required().email().custom((value) => { return new Promise((resolve, reject) => { dns.resolve(value.split('@')[1], 'MX', function(err, addresses) { if (err || !addresses || !addresses.length) { return reject(new Error(DOMAIN_ERROR)); } resolve(); }); }); }), field('type').required().select(['admin', 'user']), field('languages').array().container([ field('id').required().id(), field('level').required().select(['beginner', 'intermediate', 'advanced']) ]), field('groups').array().id(),]), async (ctx) => { const {languages, groups} = ctx.form; delete ctx.form.languages; delete ctx.form.groups; const user = await User.create(ctx.form); await UserGroup.bulkCreate(groups.map(groupId => ({ groupId, userId: user.id, }))); await UserLanguage.bulkCreate(languages.map(item => ({ languageId: item.id, userId: user.id, level: item.level, ));});如果我們需要驗證的數(shù)據(jù)沒有內(nèi)置規(guī)則,我們可以用 .custom() 方法創(chuàng)建一個自定義數(shù)據(jù)驗證規(guī)則(很不錯的名字,對嗎?)并在那里編寫必要的邏輯。 對于嵌套對象,有 .container() 方法,你可以在其中用和 datalize() 函數(shù)相同的方式指定字段列表。 你可以將容器嵌套在容器中,或使用 .array() 過濾器對其進(jìn)行補充,這些過濾器會將值轉(zhuǎn)換為數(shù)組。 如果在沒有容器的情況下使用 .array() 過濾器,則指定的規(guī)則或過濾器將被用于數(shù)組中的每個值。
所以 .array().select(['read', 'write']) 將檢查數(shù)組中的每個值是 'read' 還是 'write' ,如果有任何一個值不是其中之一,則返回所有錯誤的索引列表。 很酷,對吧?
PUT/PATCH
在使用 PUT/PATCH (或 POST)更新數(shù)據(jù)時,你不必重寫所有邏輯、規(guī)則和過濾器。 只需添加一個額外的過濾器,如 .optional() 或 .patch() ,如果未在請求中定義,它將從上下文對象中刪除任何字段。 ( .optional() 將使它始終是可選的,而 .patch() 只有在 HTTP 請求的方法是 PATCH 時才會使它成為可選項。)你可以添這個額外的過濾器,以便它可以在數(shù)據(jù)庫中創(chuàng)建和更新數(shù)據(jù)。
const datalize = require('datalize');const field = datalize.field;const userValidator = datalize([ field('name').patch().trim().required(), field('email').patch().required().email(), field('type').patch().required().select(['admin', 'user']),]);const userEditMiddleware = async (ctx, next) => { const user = await User.findByPk(ctx.params.id); // cancel request here if user was not found if (!user) { throw new Error('User was not found.'); } // store user instance in the request so we can use it later ctx.user = user; return next();};/** * @api {post} / Create a user * ... */router.post('/', userValidator, async (ctx) => { const user = await User.create(ctx.form); ctx.body = user.toJSON();});/** * @api {put} / Update a user * ... */router.put('/:id', userEditMiddleware, userValidator, async (ctx) => { await ctx.user.update(ctx.form); ctx.body = ctx.user.toJSON();});/** * @api {patch} / Patch a user * ... */router.patch('/:id', userEditMiddleware, userValidator, async (ctx) => { if (!Object.keys(ctx.form).length) { return ctx.error(400, {message: 'Nothing to update.'}); } await ctx.user.update(ctx.form); ctx.body = ctx.user.toJSON();});使用兩個簡單的中間件,我們可以為所有 POST/PUT/PATCH 方法編寫大多數(shù)邏輯。 userEditMiddleware() 函數(shù)驗證我們要編輯的記錄是否存在,否則便拋出錯誤。 然后 userValidator() 對所有端點進(jìn)行驗證。 最后 .patch() 過濾器將刪除 .form 對象中的任何字段(如果其未定義)或者假如請求的方法是 PATCH 的話。
Node.js表單驗證附加功能
在自定義過濾器中,你可以獲取其他字段的值并根據(jù)該值執(zhí)行驗證。 還可以從上下文對象中獲取任何數(shù)據(jù),例如請求或用戶信息,因為它們都是在自定義函數(shù)的回調(diào)參數(shù)中提供的。
該庫涵蓋了一組基本規(guī)則和過濾器,不過你可以注冊能與任何字段一起使用的自定義全局過濾器,所以你不必一遍又一遍地寫相同的代碼:
const datalize = require('datalize');const Field = datalize.Field;Field.prototype.date = function(format = 'YYYY-MM-DD') { return this.add(function(value) { const date = value ? moment(value, format) : null; if (!date || !date.isValid()) { throw new Error('%s is not a valid date.'); } return date.format(format); });};Field.prototype.dateTime = function(format = 'YYYY-MM-DD HH:mm') { return this.date(format);};有了這兩個自定義過濾器,你就可以用 .date() 或 .dateTime() 過濾器鏈接字段對日期輸入進(jìn)行驗證。
文件也可以使用 datalize 進(jìn)行驗證:只有 .file(), .mime(), 和 .size() 等文件才有特殊的過濾器,所以你不必單獨處理文件。
立即開始編寫更好的API
對于小型和大型API,我已經(jīng)在好幾個生產(chǎn)項目中用 datalize 進(jìn)行 Node.js 表單驗證。 這有助于我按時提供優(yōu)秀項目、減輕開發(fā)壓力,同時使其更具可讀性和可維護(hù)性。 在一個項目中,我甚至用它來通過對 Socket.IO 進(jìn)行簡單封裝,來驗證 WebSocket 消息的數(shù)據(jù),其用法與在 Koa 中的定義路由幾乎完全相同,所以這很好用。 如果很多人有興趣的話,我也可以為此編寫一個教程。
我希望本教程能夠幫助你在 Node.js 中構(gòu)建更好的API,并使用經(jīng)過完美驗證的數(shù)據(jù),而不會出現(xiàn)安全問題或內(nèi)部服務(wù)器錯誤。 最重要的是,我希望它能為你節(jié)省大量時間,否則你將不得不用 JavaScript 投入大量時間來編寫額外的函數(shù)進(jìn)行表單驗證。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持武林網(wǎng)。
新聞熱點
疑難解答
