ASP.NET MVC後台參數驗證的幾種方式
- 高洛峰原創
- 2016-12-24 13:27:071529瀏覽
前言
參數驗證是一個常見的問題,無論是前端或後台,都需對使用者輸入進行驗證,以此來確保系統資料的正確性。對於web來說,有些人可能理所當然的想在前端驗證就行了,但這樣是非常錯誤的做法,前端代碼對於用戶來說是透明的,稍微有點技術的人就可以繞過這個驗證,直接提交數據到後台。無論是前端網頁提交的接口,還是提供給外部的接口,參數驗證隨處可見,也是必不可少的。總之,一切用戶的輸入都是不可信的。
參數驗證有許多種方式進行,以下以mvc為例,列舉幾個常見的驗證方式,假設有一個使用者註冊方法
[HttpPost] public ActionResult Register(RegisterInfo info)
一、透過if-if
逐一對參數進行驗證,這種方式最粗暴,但當時在WebForm下也確實這麼用過。對於參數少的方法還好,如果參數一多,就要寫n多的if-if,相當繁瑣,更重要的是這部分判斷沒辦法重用,另一個方法又是這樣判斷。 二、透過 DataAnnotationmvc提供了DataAnnotation對Action的Model進行驗證,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性,例如RangeAttribute,RequiredAttribute等等。 ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的物件是否符合目前規則。 asp.net mvc在進行model binding的時候,會透過反射,取得標記的ValidationAttribute,然後呼叫IsValid 來判斷目前參數是否符合規則,如果驗證不通過,還會收集錯誤訊息,這也是為什麼我們可以在Action裡透過ModelState.IsValid判斷Model驗證是否通過,透過ModelState來取得驗證失敗資訊的原因。例如上面的例子:if(string.IsNullOrEmpty(info.UserName))
{
return FailJson("用户名不能为空");
}
if(string.IsNullOrEmpty(info.Password))
{
return FailJson("用户密码不能为空")
}
事實上在webform上也可以參考mvc的實作原理來實現這個過程。這種方式的優點的實現起來非常優雅,而且靈活,如果有多個Action共用一個Model參數的話,只要在一個地方寫就夠了,關鍵是它讓我們的程式碼看起來非常簡潔。 不過這種方式也有缺點,通常我們的項目可能會有很多的接口,比如幾十個接口,有些接口只有兩三個參數,為每個接口定義一個類包裝參數有點奢侈,而且實際上為這個類別命名也是非常頭痛的一件事。 三、DataAnnotation 也可以標記在參數上透過驗證特性的AttributeUsage可以看到,它不僅可以標記在屬性和欄位上,也可以標記在參數上。也就是說,我們也可以這樣寫:public class RegisterInfo
{
[Required(ErrorMessage="用户名不能为空")]
public string UserName{get;set;}
[Required(ErrorMessage="密码不能为空")]
public string Password { get; set; }
}
這樣寫也是ok的,不過很明顯,這樣寫很方法參數會難看,特別是在有多個參數,或者參數有多種驗證規則的時候。 四、自訂ValidateAttribute我們知道可以利用過濾器在mvc的Action執行前做一些處理,例如身份驗證,授權處理的。同理,這裡也可以用來驗證參數。 FilterAttribute是一個常見的過濾器,它允許我們在Action執行前後做一些操作,這裡我們要做的就是在Action前驗證參數,如果驗證不通過,就不再執行下去了。 定義一個BaseValidateAttribute基類如下:public ActionResult Register([Required(ErrorMessage="用户名不能为空")]string userName, [Required(ErrorMessage="密码不能为空")]string password)HandleError 用於在驗證失敗時處理結果,這裡ValidateHandlerProviders提過IValidateHandler。 IValidateHandler定義如下:
public class BaseValidateAttribute : FilterAttribute
{
protected virtual void HandleError(ActionExecutingContext context)
{
for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
{
ValidateHandlerProviders.Handlers[i - 1].Handle(context);
if (context.Result != null)
{
break;
}
}
}
}
ValidateHandlerProviders定義如下,它有一個預設的處理器。 public interface IValidateHandler
{
void Handle(ActionExecutingContext context);
}
這樣做的目的是,由於我們可能有很多特定的ValidateAttribute,可以把這模組獨立開來,而把最終的處理過程交給外部決定,例如我們在專案中可以定義一個處理器:public class ValidateHandlerProviders
{
public static List<IValidateHandler> Handlers { get; private set; }
static ValidateHandlerProviders()
{
Handlers = new List<IValidateHandler>()
{
new DefaultValidateHandler()
};
}
public static void Register(IValidateHandler handler)
{
Handlers.Add(handler);
}
}
然後再應用程式啟動時註冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());舉個兩個子:🜎
ValidateRegexAttribute:
public class StanderValidateHandler : IValidateHandler
{
public void Handle(ActionExecutingContext filterContext)
{
filterContext.Result = new StanderJsonResult()
{
Result = FastStatnderResult.Fail("参数验证失败", 555)
};
}
}
更多的驗證同理實現即可。
這樣,我們上面的寫法就變成:
public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter
{
public bool ValidateEmpty { get; set; }
public string Parameter { get; set; }
public ValidateNullAttribute(string parameter, bool validateEmpty = false)
{
ValidateEmpty = validateEmpty;
Parameter = parameter;
}
public void OnActionExecuting(ActionExecutingContext filterContext)
{
string[] validates = Parameter.Split(',');
foreach (var p in validates)
{
string value = filterContext.HttpContext.Request[p];
if(ValidateEmpty)
{
if (string.IsNullOrEmpty(value))
{
base.HandleError(filterContext);
}
}
else
{
if (value == null)
{
base.HandleError(filterContext);
}
}
}
}
public void OnActionExecuted(ActionExecutedContext filterContext)
{
}
}
綜合看起來,還是ok的,與上面的DataAnnotation可以權衡選擇使用,這裡我們可以擴展更多有用的信息,如錯誤描述等等。
總結
當然每種方式都有缺點,這個是視具體情況選擇了。一般參數太多建議就用一個物件包裝了。
更多ASP.NET MVC後台參數驗證的幾種方式相關文章請關注PHP中文網!陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn