Express-Validator 自定义验证器和净化器深度解析-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00534/article/details/148487944

Express-Validator 自定义验证器和净化器深度解析

express-validator 项目地址: https://gitcode.com/gh_mirrors/exp/express-validator

前言

在 Web 开发中，数据验证和净化是保证应用安全性和数据完整性的重要环节。Express-Validator 作为 Express 框架的中间件，提供了强大的数据验证和净化功能。虽然它内置了大量实用的验证器和净化器，但在实际开发中，我们经常需要根据业务需求实现自定义逻辑。

自定义验证器详解

基本概念

自定义验证器通过 .custom() 方法实现，它接收一个验证函数作为参数。这个函数可以：

返回 Promise 实现异步验证
抛出异常或拒绝 Promise 来表示验证失败
返回 true 表示验证通过

典型应用场景

场景一：检查邮箱是否已被注册

const { body } = require('express-validator');

app.post(
  '/register',
  body('email').custom(async (email) => {
    const user = await User.findUserByEmail(email);
    if (user) {
      throw new Error('该邮箱已被注册');
    }
    return true;
  }),
  (req, res) => {
    // 处理注册逻辑
  }
);

技术要点：

使用 async/await 处理异步操作
抛出错误时，错误信息将作为验证失败的提示
数据库操作需要考虑性能影响

场景二：密码确认验证

const { body } = require('express-validator');

app.post(
  '/change-password',
  body('newPassword').isLength({ min: 8 }),
  body('confirmPassword').custom((confirmPwd, { req }) => {
    if (confirmPwd !== req.body.newPassword) {
      throw new Error('两次输入的密码不一致');
    }
    return true;
  }),
  (req, res) => {
    // 处理密码修改逻辑
  }
);

技术要点：

通过上下文对象 { req } 访问请求中的其他字段
同步验证直接返回 true/false 或抛出错误
密码复杂度验证可与自定义验证结合使用

自定义净化器详解

基本概念

自定义净化器通过 .customSanitizer() 方法实现，目前仅支持同步操作。净化器函数会对输入值进行处理并返回新的值。

典型应用场景

场景一：转换 MongoDB ObjectID

const { param } = require('express-validator');
const { ObjectId } = require('mongodb');

app.get(
  '/products/:id',
  param('id').customSanitizer(value => {
    try {
      return new ObjectId(value);
    } catch (err) {
      return value; // 保持原值，后续验证会处理无效ID
    }
  }),
  (req, res) => {
    // 处理产品查询
  }
);

技术要点：

净化操作应在验证之前执行
对于可能失败的操作，应考虑错误处理
净化后的值会替换原始请求值

场景二：自定义字符串处理

const { body } = require('express-validator');

app.post(
  '/articles',
  body('title').customSanitizer(title => {
    return title.trim().replace(/\s+/g, ' ');
  }),
  (req, res) => {
    // 处理文章创建
  }
);

技术要点：