Как правильно организовать обработку данных в экшене контроллера?

Question

[nepster-web]

Задался вопросом простых и гибких экшинов в контроллерах. Собственно используя свой подход к проектированию столкнулся с проблемами, для решения которых хочу воспользоваться вашими советами.
Примеры на laravel5

Контроллер:

<?php

namespace App\Http\Controllers;

use App\Http\Requests\TestRequest;
use App\Services\TestService;
use Exception;
use Session;
use DB;

class TestController extends Controller
{
    protected $testService;


    public function __construct(TestService $testService)
    {
        $this->testService = $testService;
    }


    public function index(TestRequest $request)
    {
        DB::beginTransaction();

        try {

            $result = $this->testService->process($request->all());

            if ($result) {
                DB::commit();

                // Данные сохранены успешно

            } else {
                DB::rollBack();

                // Ошибка сохранения данных

            }
        } catch (Exception $e) {
            DB::rollBack();

            // Ошибка обработки данных
        }

        //return redirect || view;
    }

}

Сервис

<?php

namespace App\Services;

use ErrorException;

class TestService
{
    public function process(array $data)
    {
        // Логика и аналитика для получания переменной $var
        $var = 7;

        if ($var > $data['count']) {
            throw new ErrorException('Возникла критическая ошибка, ...');
        }

        return true;
    }
}

Реквест

<?php

namespace App\Http\Requests;

use HttpResponseException;
use Validator;
use Response;

class TestRequest extends Request
{
    public function authorize()
    {
        return true;
    }

    public function rules()
    {
        $this->sanitize();

        return [
            // rules
        ];
    }

    public function messages()
    {
        return [];
    }

    public function sanitize()
    {
        $input = $this->all();
        $input['var1'] = filter_var(isset($input['var1']) ? $input['var1'] : null, FILTER_SANITIZE_STRING);
        $input['var2'] = filter_var(isset($input['var2']) ? $input['var2'] : null, FILTER_SANITIZE_STRING);
        $input['var3'] = filter_var(isset($input['var3']) ? $input['var3'] : null, FILTER_SANITIZE_STRING);
        $this->replace($input);
    }

}

Возник вопрос/проблема с валидацией данных

По хорошему валидацию должен делать реквест, однако довольно часто происходят ситуации, в которых мне нужно проверить есть ли запись в таблице и сразу с ней работать. Тоесть выходит 2 запроса, 1 - через валидаторы фреймворка, а 2 - когда в контроллере или сервисе достаем эту-же запись для дальнейшей работы.

В добавок к этому иногда логика может быть достаточно замысловатой, поэтому чтобы получить некие данные для валидации, нужно проделать ряд логических действий. Мне не очень нравится идея выносить куски логики в реквест (даже если протягивать сервисы в реквест), чтобы сделать валидацию, а потом почти тоже самое, чтобы в сервисе продолжить работать с этим делом.

Соответственно получается неудобная ситуация, когда часть валидации нужно разместить в реквесте, а часть в сервисе. Еще остается проблема рендеринга ошибок, когда у нас получается два типа валидации, реквест и валидация по средствам эксепшинов из сервисов.

Подскажите пожалуйста (желательно на примерах псевдокода), как это красиво оформить ?
Буду очень признателен за развернуты ответы по этому вопросу.

Answer 1

[index0h]

По хорошему валидацию должен делать реквест

Неа. Request - это просто набор данных.

Тоесть выходит 2 запроса, 1 - через валидаторы фреймворка, а 2 - когда в контроллере или сервисе достаем эту-же запись для дальнейшей работы.

Вы пытаетесь найти единственное правильно место для проверок. По хорошему проверки должны быть во всех методах, даже в приватных. Что-то не так - бросайте исключение. Эта практика на первый взгляд жуткая, но она вас обезопасит от огромнейшего количества ошибок.

Опережая ваш вопрос: "это ж сколько дублировать проверки придется?". Да, много, но поверьте, оно стоит того.

В добавок к этому иногда логика может быть достаточно замысловатой

Если вы пытаетесь в одной точке захватить множество контекстов - безусловно. Если же будете делать необходимые проверки всюду - эта сложность не возникнет.

Мне не очень нравится идея выносить куски логики в реквест

Мысль здравая.

Соответственно получается неудобная ситуация, когда часть валидации нужно разместить в реквесте, а часть в сервисе.

Не нарушайте SRP.

<?php

namespace Vendor\Project\AppBundle\Controller;

use KoKoKo\assert\Assert;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\JsonResponse;
use Vendor\Project\Path\Authorization\UserNotFoundException;
use Vendor\Project\Path\Authorization\InvalidCredentialsException;

class LoginController extends Controller
{
    /**
     * @Route("/login", name="login")
     * @Method({"POST"})
     * @param Request $request
     * @return JsonResponse
     */
    public function loginAction(Request $request) : JsonResponse
    {
        try {
            $login = $request->request->get('login');
            $pass  = $request->request->get('pass');

            Assert::assert($login, 'login')->string()->notEmpty()->match('/^[a-z\d]{3,32}$/i');
            Assert::assert($pass, 'pass')->string()->notEmpty()->lengthBetween(6, 32);
        } catch (\Throwable $exception) {
            return new JsonResponse($exception->getMessage(), JsonResponse::HTTP_BAD_REQUEST);
        }

        try {
            $user = $this->get('UserAuthorizator')->authorize($login, $pass);

            return new JsonResponse($user->getId());
        } catch (UserNotFoundException $exception) {
            return new JsonResponse('User not found', JsonResponse::HTTP_BAD_REQUEST);
        } catch (InvalidCredentialsException $exception) {
            return new JsonResponse('Invalid login or path', JsonResponse::HTTP_BAD_REQUEST);
        } catch (\Throwable $exception) {
            $this->get('logger')->error($exception->getMessage(), ['exception' => $exception]);

            return new JsonResponse('Something went wrnog :((', JsonResponse::HTTP_INTERNAL_SERVER_ERROR);
        }
    }
}

Comments

[Станислав Почепко]

Вы бы не могли дать ссылочку по практическому применению Exeption. Может у вас есть открытый проект на github или etc ,где их юзаете. Пытаюсь поднять качество кода, но до конца не понимаю где и как надо делать проверки. И как делать обработку Exeptions по правильному

[index0h]

Станислав Почепко
Да все просто с исключениями))
\InvalidArgumentException и производные - вы даете на обработку какую-то хрень. Пример: вместо массива в метод суете строку.
\DomainException и производные - данные не правильны, но уже по сложнее, например пользователя с таким id не существует, хэш такого-то пароля - не правильный...
\LogicalException и производные - такого произойти не должно. Например: удаленный пользователь откомментировал сообщение.
\RuntimeException и производные - "я хрен его знает что с этим делать". Пример: пропало подключение к БД.

> Может у вас есть открытый проект на github или etc ,где их юзаете.
https://github.com/ko-ko-ko/php-assert/blob/master...

> Пытаюсь поднять качество кода, но до конца не понимаю где и как надо делать проверки.
Всюду. В этом случае вы получаете 2 преимущества:
- гарантию того, что вызов каждого метода будет корректным.
- нет надобности учитывать контекст в каждом методе.
Например у вас есть метод логин, принимающий на вход логин и пароль, ему не важно, а откуда зашел пользователь, а выбрал ли он remember me,... Ваш метод проверяет и обрабатывает только 2 аргумента - не пустые строки.

Рекомендую к прочтению: Попросили проверить код, на что смотреть нужно?

[nepster-web]

index0h: Тоесть по сути исключения посланные из сервисов считаются хорошей практикой валидации ? Я вот смотрел в эту сторону, но возникают сомнения. Если логика большая и сложная, то трай/кетч может прилично разрастись. Как на счет создать что-то типа AlertException и засовывать информацию туда, например сообщение об ошибке и код ?

[index0h]

nepster09
> Тоесть по сути исключения посланные из сервисов считаются хорошей практикой валидации ?
Исключение - это ситуация, противоречащая штатному выполнению, как правило. Если что-то мешает сервису штатно выполнить его работу - стоит бросить исключение.

> Если логика большая и сложная, то трай/кетч может прилично разрастись.
Чаще всего вам не нужно вообще-вообще все типы исключений обрабатывать. А только несколько из них.

> Как на счет создать что-то типа AlertException и засовывать информацию туда, например сообщение об ошибке и код ?
Конкретно для контроллера - ну может быть, но нужно быть очень осторожным. Пользователю можно отдавать только безопасные для вас данные. Например исключение от БД отдавать не стоит в принципе, а вот логировать его - стоит.
Для сервисов - скорее нет, чем да, зависит от назначения сервиса.

[nepster-web]

index0h: А как на счет ситуации с повторным запросом ? Например нужно проверить если ли такой пользователь в базе, это делает реквест, а потом в сервисе получить его данные для работы. Получается 2 запроса к бд. по сути на ровном месте. Плюс ко всему, чего я еще опасаюсь, так это того, что если я проверил в реквесте, что запись с id 7 к примеру существует, а в сервисе мне нужно достать и работать с данной записью, то я всеравно еще сделаю проверку с исключением, действительно ли все окей.

[index0h]

nepster09
> если ли такой пользователь в базе, это делает реквест
Реквест ничего не делает, это набор данных без какой бы то ни было логики.

> Получается 2 запроса к бд
Что вам мешает в сервисе запилить метод, который будет принимать на вход вашего пользователя?

[nepster-web]

index0h: "Реквест ничего не делает, это набор данных без какой бы то ни было логики." - я про то, что там можно писать стандартные ларавелевские валидаторы, например exist, который делает запрос чтобы все проверить, а потом в сервисе нужно еще получить данные для манипуляций.

[index0h]

nepster09
> я про то, что там можно писать стандартные ларавелевские валидаторы
Laravel - это набор антипрактик, увы.

> а потом в сервисе нужно еще получить данные для манипуляций.
Сервис вы вызываете с вытянутыми данными из реквеста, согласно сигнатуре вызова. Сервис по хорошему даже про существование Request не должен знать.

[Станислав Почепко]

nepster09: Я думаю, в объектах Request не стоит делать проверки связанные с БД и с существованием данных. Ты валидируешь данные на правильность ввода. А то, что в БД не существует этой записи - это уже проблема приложения, а не пользователя. Поскольку ты позволил выбрать пользователя не существующие данные (например из select или checkbox) . Думаю логично будет делать проверку уже внутри с использованием Exeption.

[Станислав Почепко]

index0h: Спасибо. Очень помогли уложить это немного в голове.
Но остался вопрос. Если я делаю стандартное обворачивания кода в try catch. Что должно быть в catch? Например, ситуация с отсутсвием требуемого объекта в БД. Что я должен показать пользователю? Может делать перенаправление? Или делать какую либо подмену объекта?

[nepster-web]

index0h: да это понятно. Не везде есть реквест, например в консольных командах. Я образно. Я беру данные из репозитория и работаю с ними в сервисе. По поводу анти практик, ларавель мальца круче Yii, а вот в Yii там для рав разработки нормально поизвращались.

[nepster-web]

index0h: а что вы скажете по поводу транзакций ? Правильно ли их открывать в контроллере ? Ибо можем работать не с одним сервисом, а с несколькими.

[nepster-web]

Станислав Почепко: тут кстате спорно, так-как не всегда нужно перенаправление. В случае с аякс например. У меня вопрос, можно ли как-то из контроллера модифицировать объект ошибок, который попадает в виды через $errors

[Станислав Почепко]

nepster09: Если вы валидируете с помощью объекта Request - то нет. По факту у вас приложение не доходит до контроллера, если есть ошибки. В таком случае надо делать валидацию в контроллере. А там уже можете получить объект с этими ошибками. Точно сейчас код не подскажу, но посмотрите доку или API по валидатору

[nepster-web]

Станислав Почепко: я понял, но мне кажется валидация в контроллере это как-то из ряда идея попахивающая идиотизмом. Ну тоесть за какие заслуги мы контроллеру даем лишнюю ответственность, он и так много чего делает, например сервисы вызывает, передает данные, ответ от сервера возвращает, еще исключения обрабатывает, куда ему еще валидация. Про ошибки я имел ввиду уже после реквеста, тоесть реквест прошел все хорошо, но сервис плюнул исключение, можно это дело подмешать во вьюшку ?

[Станислав Почепко]

nepster09: Конечно можно. Вы можете сами свои добавлять туда ошибки. Но опять же. Где-то в доке есть инфа по этому поводу. Ищите валидация - работа с ошибками

[nepster-web]

Станислав Почепко: Спасибо. Смотрите я про доку в курсе, код не нужен. Меня интересует сугубо теоретическая правильность. Тоесть с точки зрения ООП на сколько это правильно.

[Станислав Почепко]

nepster09: Я считаю валидацию как сервис. И тем более объект с ошибками доступен отовсюду. Поэтому, думаю, это правильно.

[index0h]

Станислав Почепко

> Что должно быть в catch?
Какое исключените - такая и обработка))

> Например, ситуация с отсутсвием требуемого объекта в БД. Что я должен показать пользователю?
Это целиком и полностью зависит от задачи.

> Может делать перенаправление?
Если бизнес требования такие, что нужно перенаправлять - перенаправляйте, если нужно что-то другое - сделайте это что-то другое.

> Или делать какую либо подмену объекта?
Опять же от задачи зависит, но скорее нет чем да.

nepster09

> По поводу анти практик, ларавель мальца круче Yii, а вот в Yii там для рав разработки нормально поизвращались.
Yii - вообще говоря тоже УГ. Но на нем по крайней мере можно средние проекты писать.
Валидация реквеста до контроллера - это как раз одна из антипрактик.

> а что вы скажете по поводу транзакций ? Правильно ли их открывать в контроллере ?
Скорее нет чем да. По ситуации. Если у вас действите маленькое и отдельный сервис для него писать смысла нет, но с транзакцией - почему бы и да.

> Ну тоесть за какие заслуги мы контроллеру даем лишнюю ответственность
Разве у штуки, которая работает с внешним вводом нет обязанности проверять, этот внешний ввод?))

> но сервис плюнул исключение, можно это дело подмешать во вьюшку ?
Если вы по типу исключения определите отдельную текстовку для пользователя - почему бы и да. Если же на прямую getMessage - вот это уже плохо.
В моем примере не просто так 2 try-catch, результат первого - это базовая валидация пользовательского ввода и там можно безопасно возвращать сообщение исключения на прямую.

[nepster-web]

index0h: не совсем понял про транзакции. Просто если контроллер дергает 2 или 3 сервиса или сервис регистрирует события, то хорошо было бы все это провернуть в транзакциях. Соответственно отсюда и идея все это дело завернуть.

Соответственно вывод:

Request - занимается строго чисткой данных и приводит их к нужному типу и формату. Не делает обращений в базу (возможно за редкими исключениями).

Controller - получает уже подготовленные данные, которые готовы для дальнейшей работы. Может вызывать сервисы и репозитории. Обрабатывает исключения и формирует ответ от сервера.

Service - принимает данные в массиве, через сеттеры или через DTO. Осуществляет логику возвращая результат. В процессе бросает исключения, которые являются своего рода валидацией данных, которые препятствуют выполнению.

View - принимает объект $errors для обработки ошибок и отображает представление.

------------------------
Поправьте, если не правильно сделал выводы.

[index0h]

nepster09

> Просто если контроллер дергает 2 или 3 сервиса или сервис
Если сервис самостоятельно это делает - имеет смысл начинать транзакцию в нем. Если вы объединяете действия нескольких сервисов - скорее всего вам стоит создать обертку для этого действия в отдельном сервисе.

> Request - занимается строго чисткой данных и приводит их к нужному типу и формату.
Request - это просто набор данных. Его задача содержать их, не больше и не меньше. Обрабатывать он ничего не должен.

> Controller - получает уже подготовленные данные, которые готовы для дальнейшей работы.
Нет, контроллер получает Request, вытягивает данные от туда, проверяет их на корректность, приводит к конечным типам и отправляет на обработку.

> Service - принимает данные в массиве, через сеттеры или через DTO.
Через массив как набор объектов - это ок. Через массив k-v - это хреновая практика.
Через сеттеры - не ок. По хорошему сервисы не должны содержать изменяемого состояния.
Через DTO - ок.

> В процессе бросает исключения, которые являются своего рода валидацией данных, которые препятствуют выполнению.
Не совсем так. Исключения бросаются, если штатное выполнение невозможно.

> View - принимает объект $errors для обработки ошибок и отображает представление.
Затрудняюсь ответить. Вариантов передачи данных в шаблон довольно таки много. Например при запросе после редиректа имеет смысл ошибки оставлять в сессии. При аякс запросе - лучше ориентироваться на коды ошибок. При обычном рендеринге можно через переменную $errors, или как-то по другому ее назвать.

[nepster-web]

index0h: так если реквест не должен ничего обрабатывать это нужно делать контроллеру, а это лишний код в нем. Да и было бы не плохо в контроллере получить уже подготовленные данные, которым можно доверять. Возможно вы меня не поняли, но на примере ларавеля - реквест это спец. файл как раз для обработки входящих данных.

Относительно контроллера я имею ввиду, что из объекта реквест он получает уже проверенные и приобразованные данные, которые готовы к работе дальше.

Почему кий-велью это плохая практика ? Из-за отсутствия целостности апи ? Что скажете про коллекции ?

Сервисы я абстрактно, как классы доменной модели. Там могут быть разные хелперы, обработчики и тп.

По поводу исключений, может я не так выразился, но в любом случае нужно пользователю красиво показать ошибку. Даже если эта ошибка самой логики или банально упал сервер бд или внешний ресурс.

К теме видов - $errors это ларавелевский объект, который содержит информацию об ошибках. Ларавель сам его прикидывает во вьюшки. Поэтому придётся работать с ним.

[index0h]

nepster09
> так если реквест не должен ничего обрабатывать это нужно делать контроллеру, а это лишний код в нем.
Если у вас параметров штук 20 с кучей проверок - конкретно эти проверки можно вынести в отдельный stateless сервис, который будет бросать исключение, или возвращать объект Response - это ок.
Если на те же 20 полей вы вы будете преобразовывать Request в некий немутабельный DTO с уже проверенными данными и приведенными к правильным типам - это тоже ок.
То, что действительно важно - это вызывать подобные штуки внутри контроллера.
В противном случае вы получите неявную зависимость вашего контроллера.

Если же параметров мало - заводить отдельные сервисы валидации/фабрики DTO будет излишним.

> Относительно контроллера я имею ввиду, что из объекта реквест он получает уже проверенные и приобразованные данные, которые готовы к работе дальше.
Вы добавляете целый уровень абстракции, который в 90% случаев не нужен.

> Почему кий-велью это плохая практика ? Из-за отсутствия целостности апи ?
В целом - да. Массив - это ящик пандоры, который провалидировать довольно проблематично. Например вы ожидаете массив с двумя ключами: login(string) и pass(string). По хорошему вам нужно проверить:
1. Массив содержит ключ login.
2. Массив содержит ключ pass.
3. Количество элементов в массиве 2.
4. Элемент login - строка.
5. Элемент login - не содержит запрещенных символов и правильной длины.
6. Элемент pass - строка.
7. Элемент pass - не содержит запрещенных символов и правильной длины.

Если же использовать scalar type hinting: при проверках у вас остаются только 2 валидации: 5 и 7.

> Что скажете про коллекции ?
Это ок.

> По поводу исключений, может я не так выразился,...
Все верно

[nepster-web]

index0h: Извиняюсь, не много запутался с реквестами. Возможно мы друг друга не понимаем.
Я попробую показать на примере laravel5, так как я не могу выходить за более-менее стандартные его рамки.

К примеру у меня есть экшин, который принимает объект реквеста $request:
public function index(TestRequest $request)
{

}

Я не попаду в этот экшин, пока не удовлетворю валидацию реквеста и права на доступ. Я находил пример реализации некого метода sanitize (www.easylaravelbook.com/blog/2015/03/31/sanitizing..., такой подход рекомендуют для того, чтобы в контроллер уже пришли четкие данные.

Возможно это отличается от работы в симфони, но это более очевидно для сообщества laravel (кстате руководством нашей команды он был выбран, только из-за популярности).

Соответственно на основе текущей информации мое утверждение следующее:
- Я делаю запрос на сервер, к примеру отправляю форму с данными.
- Эти данные попадают в объект TestRequest $request
- Внутри TestRequest $request я осуществляю валидацию данных и привожу их к нужному мне формату. Это может быть принудительное указание типа, trim и тп.
- Когда данные доходят до экшина, я получаю массив k-v $request->all();
- Далее для сохранения целостности api этот массив перегоняем в DTO TestDTO и далее уже тащим по сервисам.

Что скажете ?

[index0h]

nepster09
Смотрите, ваш подход имеет право на жизнь. В случае сложных форма он будет даже удобен. Но для маленьких форм - это будет избыточным.
Однако добавив этот уровень абстракции над контроллером вы должны быть готовы к увеличению сложности вашего приложения, соответственно - количеству ошибок. Я не знаю как конфигурация подобного происходит в laravel. Если она не явная (только на основании тайпхинтинга) - это потенциальный источник ошибок.

> кстате руководством нашей команды он был выбран, только из-за популярности
Если только из-за популярности - вы уж извините, ваше руководство слепо.

> Когда данные доходят до экшина, я получаю массив k-v $request->all();
Если уж на то пошло, что вам мешает собирать dto в том же сервисе, что и проверять request? Превратить TestRequest в некую фабрику.

На моем текущем проекте есть в планах использовать подстановку аргумента UserInterface с выходом Symfony 3.2. С одной стороны это приводит к тем же проблемам, что и с внешней обработкой Request. С другой стороны - это очень упростит unit тесты (с этим строго, покрытие 98%). Так что это вынужденная мера.

Answer 2

[Alex Wells]

К сожалению, никак. Чекни это: https://github.com/illuminate/validation/blob/mast...
Запросы к базе идут напрямую, по-этому передать готовую модель валидатору невозможно. Так-же посмотри на это: https://github.com/illuminate/validation/blob/mast...
Тоже хардкодинг. Laravel - не волшебная палочка, и очеень далек от совершенства. С ним стает очень тяжело при выполнении задач сложнее CRUD. Но всегда есть варианты:

1) Можно создать свой класс валидатора, который будет наследовать обычный, там переписать методы проверки из базы, а так-же переписать DatabasePresenceVerifier, дабы тот юзал переданную модель. Но все это явно не будет элегантным и привальным решением, чисто как вариант.
2) Использовать сторонние валидаторы.
3) И самый простой - просто доставать модель, а потом уже $model->toArray() передавать валидатору. Таким образом можно полностью контролировать что и откуда достается, а так-же делать разные типы валидаций, выходящие за рамки обычного валидатора. Но в таком подходе тоже есть минусы - часть обычных методов валидатора можно выкинуть, таких как unique и тд.

Если 3 вариант не подходит, что скорее всего именно так, то нужно искать абсолютно кастомные верификаторы.

Других вариантов нету. Использовать встроенные средства Ларьки - ад. Я вот UUID в виде binary храню, так мне тут половину фреймворка раскопать надо, что-бы реализовать это нормально. Symfony в этом плане явно выигрывает.

Comments

[nepster-web]

Я вообще сейчас пытаюсь отказаться от моделей. Я построил некий сервис леер, однако не много не правильно сделал и вместо сущностей гоняю модели. Сейчас же весь актив рекорд потерял у меня свой смысл и инкапсулировался в репозитории ну и сущности тоже скоро ввиду.

Кастомные валидаторы это понятно, просто есть моменты когда пока не пройдет определенная логика, данные для валидации не получить. Соответственно являются ли исключения посланные из сервисов хорошей практикой валидации ?