Back to flin
flin

Validadores de cuerpo de solicitud

Cómo los bloques validate de FLIN aplican seguridad de tipos, restricciones y reglas de negocio sobre los datos de solicitud entrantes -- validación declarativa que se ejecuta antes del código del handler y retorna respuestas de error estructuradas.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 5 min flin
EN/ FR/ ES
flinrust

La validación de entrada es la primera línea de defensa en cualquier aplicación web. Los datos inválidos causan fallos, corrompen bases de datos, habilitan ataques de inyección y crean errores sutiles que se manifiestan en producción semanas después del despliegue. Sin embargo, en la mayoría de los frameworks, la validación es código tardío disperso en los handlers, duplicado entre endpoints e inconsistentemente aplicado.

Los bloques validate de FLIN son declarativos, componibles y aplicados antes de que se ejecute el código del handler. Se declara cómo debe verse el cuerpo de la solicitud, y FLIN rechaza automáticamente las solicitudes malformadas con respuestas de error estructuradas. Sin biblioteca de validación. Sin verificación manual. Sin forma de olvidarla.

El bloque validate

Un bloque validate declara la forma esperada y las restricciones del cuerpo de la solicitud:

flinroute POST {
    validate {
        name: text @required @minLength(2) @maxLength(100)
        email: text @required @email
        age: int @min(13) @max(120)
        role: text @one_of("user", "admin", "moderator")
        bio: text @maxLength(500)
    }

    // Si llegamos aquí, todas las validaciones pasaron
    // body.name está garantizado como cadena de 2-100 caracteres
    // body.email está garantizado como email válido
    // body.age está garantizado como entero entre 13 y 120

    user = User {
        name: body.name,
        email: body.email,
        age: body.age,
        role: body.role || "user",
        bio: body.bio || ""
    }
    save user

    response { status: 201, body: user }
}

Si algún campo falla la validación, FLIN retorna un 400 Bad Request con información detallada del error:

json{
    "error": "Validation failed",
    "status": 400,
    "fields": {
        "name": "Must be at least 2 characters",
        "email": "Must be a valid email address",
        "age": "Must be at least 13"
    }
}

El código del handler nunca se ejecuta. Los datos inválidos nunca llegan a la base de datos. La respuesta de error le dice al cliente exactamente qué campos fallaron y por qué.

Decoradores disponibles

FLIN proporciona un conjunto completo de decoradores de validación:

Decoradores de tipo

TipoDescripciónCoerción
textValor de cadenaDesde cualquier tipo vía to_text()
intValor enteroDesde cadena vía to_int()
floatValor de punto flotanteDesde cadena vía to_float()
boolValor booleanoDesde "true"/"false"/"1"/"0"
fileArchivo subidoDesde parte multipart
[type]Arreglo de valoresAnalizado como arreglo JSON

Decoradores de restricción

flinvalidate {
    // Campos requeridos
    name: text @required                  // Debe estar presente y no vacío

    // Restricciones de cadena
    slug: text @minLength(3) @maxLength(50) @pattern("^[a-z0-9-]+$")
    email: text @email                    // Debe coincidir con formato de email
    url: text @url                        // Debe ser URL válida
    phone: text @phone                    // Debe ser número de teléfono válido

    // Restricciones numéricas
    age: int @min(0) @max(150)
    price: float @min(0.01) @max(999999.99)
    quantity: int @required @min(1) @max(10000)

    // Restricciones de enumeración
    status: text @one_of("active", "inactive", "pending")
    priority: int @one_of(1, 2, 3, 4, 5)

    // Restricciones de archivo
    avatar: file @max_size("5MB") @allow_types("image/png", "image/jpeg")
    documents: [file] @max_count(10) @max_size("25MB")

    // Mensaje de validación personalizado
    password: text @required @minLength(8) @message("Password must be at least 8 characters")
}

Validación vs. guards

La validación y los guards sirven propósitos diferentes y se complementan:

Guards protegen el acceso: ¿quién puede llamar a este endpoint? Los guards se ejecutan antes de que el cuerpo de la solicitud sea analizado. Un usuario no autenticado es rechazado antes de que se lea su cuerpo de solicitud.

Validadores protegen los datos: ¿qué forma deben tener los datos de entrada? Los validadores se ejecutan después de que los guards pasan y el cuerpo es analizado. Aseguran que los datos estén bien formados antes de que el handler los procese.

flinguard auth                    // Quién: solo usuarios autenticados
guard role("admin")           // Quién: solo administradores
guard rate_limit(10, 60)      // Con qué frecuencia: 10/minuto

route POST {
    validate {                // Qué: datos de usuario bien formados
        name: text @required
        email: text @required @email
    }

    // Si llegamos aquí:
    // 1. El usuario está autenticado (guard auth)
    // 2. El usuario es admin (guard role)
    // 3. La solicitud está dentro del límite de tasa (guard rate_limit)
    // 4. El cuerpo tiene nombre y email válidos (validate)
}

Cuatro capas de protección, cada una expresada declarativamente, cada una aplicada automáticamente.

La validación de FLIN no es una biblioteca que se instala. No es middleware que se configura. Es una característica del lenguaje que se compila a código eficiente de verificación de tipos, produce mensajes de error claros y no puede ser omitida. Cada endpoint API que usa un bloque validate está protegido contra entrada malformada, cada vez, automáticamente.

En el próximo artículo, vemos cómo verificamos que todas estas funciones de seguridad funcionan correctamente: 75 pruebas de seguridad cubriendo autenticación, autorización, limitación de tasa, validación de entrada y operaciones criptográficas.


Esta es la Parte 113 de la serie "Cómo construimos FLIN", que documenta cómo un CEO en Abidjan y un CTO de IA diseñaron y construyeron un lenguaje de programación desde cero.

Navegación de la serie: - [112] Autenticación OTP por WhatsApp para África - [113] Validadores de cuerpo de solicitud (estás aquí) - [114] 75 pruebas de seguridad: cómo verificamos todo - [115] Guards y middleware de seguridad personalizados

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9