这里有新鲜出炉的精品教程,程序狗速度看过来!
ASP.NET 是. NET FrameWork 的一部分,是一项微软公司的技术,是一种使嵌入网页中的脚本可由因特网服务器执行的服务器端脚本技术,它可以在通过 HTTP 请求文档时再在 web 服务器上动态创建它们。 指 Active Server Pages(动态服务器页面) ,运行于 IIS(Internet Information Server 服务,是 Windows 开发的 Web 服务器)之中的程序 。
本篇文章主要介绍了 ASP.NET MVC 后台参数验证的几种方式 ,具有一定的参考价值,有兴趣的可以了解一下。
前言
参数验证是一个常见的问题,无论是前端还是后台,都需对用户输入进行验证,以此来保证系统数据的正确性。对于 web 来说,有些人可能理所当然的想在前端验证就行了,但这样是非常错误的做法,前端代码对于用户来说是透明的,稍微有点技术的人就可以绕过这个验证,直接提交数据到后台。无论是前端网页提交的接口,还是提供给外部的接口,参数验证随处可见,也是必不可少的。总之,一切用户的输入都是不可信的。
参数验证有许多种方式进行,下面以 mvc 为例,列举几种常见的验证方式,假设有一个用户注册方法
- [HttpPost]
- public ActionResult Register(RegisterInfo info)
一、通过 if-if 判断
- if (string.IsNullOrEmpty(info.UserName))
- {
- return FailJson("用户名不能为空");
- }
- if (string.IsNullOrEmpty(info.Password))
- {
- return FailJson("用户密码不能为空")
- }
逐个对参数进行验证,这种方式最粗暴,但当时在 WebForm 下也确实这么用过。对于参数少的方法还好,如果参数一多,就要写 n 多的 if-if,相当繁琐,更重要的是这部分判断没法重用,另一个方法又是这样判断。
二、通过 DataAnnotation
mvc 提供了 DataAnnotation 对 Action 的 Model 进行验证,说到底 DataAnnotation 就是一系列继承了 ValidationAttribute 的特性,例如 RangeAttribute,RequiredAttribute 等等。ValidationAttribute 的虚方法 IsValid 就是用来判断被标记的对象是否符合当前规则。asp.net mvc 在进行 model binding 的时候,会通过反射,获取标记的 ValidationAttribute,然后调用 IsValid 来判断当前参数是否符合规则,如果验证不通过,还会收集错误信息,这也是为什么我们可以在 Action 里通过 ModelState.IsValid 判断 Model 验证是否通过,通过 ModelState 来获取验证失败信息的原因。例如上面的例子:
- public class RegisterInfo
- {
- [Required(ErrorMessage="用户名不能为空")]
- public string UserName{get;set;}
- [Required(ErrorMessage="密码不能为空")]
- public string Password { get; set; }
- }
事实上在 webform 上也可以参照 mvc 的实现原理实现这个过程。这种方式的优点的实现起来非常优雅,而且灵活,如果有多个 Action 共用一个 Model 参数的话,只要在一个地方写就够了,关键是它让我们的代码看起来非常简洁。
不过这种方式也有缺点,通常我们的项目可能会有很多的接口,比如几十个接口,有些接口只有两三个参数,为每个接口定义一个类包装参数有点奢侈,而且实际上为这个类命名也是非常头疼的一件事。
三、DataAnnotation 也可以标记在参数上
通过验证特性的 AttributeUsage 可以看到,它不只可以标记在属性和字段上,也可以标记在参数上。也就是说,我们也可以这样写:
- public ActionResult Register([Required(ErrorMessage = "用户名不能为空")] string userName, [Required(ErrorMessage = "密码不能为空")] string password)
这样写也是 ok 的,不过很明显,这样写很方法参数会难看,特别是在有多个参数,或者参数有多种验证规则的时候。
四、自定义 ValidateAttribute
我们知道可以利用过滤器在 mvc 的 Action 执行前做一些处理,例如身份验证,授权处理的。同理,这里也可以用来对参数进行验证。FilterAttribute 是一个常见的过滤器,它允许我们在 Action 执行前后做一些操作,这里我们要做的就是在 Action 前验证参数,如果验证不通过,就不再执行下去了。
定义一个 BaseValidateAttribute 基类如下:
- public class BaseValidateAttribute: FilterAttribute
- {
- protected virtual void HandleError(ActionExecutingContext context)
- {
- for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--)
- {
- ValidateHandlerProviders.Handlers[i - 1].Handle(context);
- if (context.Result != null)
- {
- break;
- }
- }
- }
- }
HandleError 用于在验证失败时处理结果,这里 ValidateHandlerProviders 提过 IValidateHandler 用于处理结果,它可以在外部进行注册。IValidateHandler 定义如下:
- public interface IValidateHandler
- {
- void Handle(ActionExecutingContext context);
- }
ValidateHandlerProviders 定义如下,它有一个默认的处理器。
- public class ValidateHandlerProviders
- {
- public static List < IValidateHandler > Handlers {
- get;
- private set;
- }
- static ValidateHandlerProviders()
- {
- Handlers = new List < IValidateHandler > ()
- {
- new DefaultValidateHandler()
- };
- }
- public static void Register(IValidateHandler handler)
- {
- Handlers.Add(handler);
- }
- }
这样做的目的是,由于我们可能有很多具体的 ValidateAttribute,可以把这模块独立开来,而把最终的处理过程交给外部决定,例如我们在项目中可以定义一个处理器:
- public class StanderValidateHandler: IValidateHandler
- {
- public void Handle(ActionExecutingContext filterContext)
- {
- filterContext.Result = new StanderJsonResult()
- {
- Result = FastStatnderResult.Fail("参数验证失败", 555)
- };
- }
- }
然后再应用程序启动时注册:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());
举个两个栗子:
ValidateNullttribute:
- public class ValidateNullAttribute: BaseValidateAttribute,
- IActionFilter
- {
- public bool ValidateEmpty {
- get;
- set;
- }
- public string Parameter {
- get;
- set;
- }
- public ValidateNullAttribute(string parameter, bool validateEmpty = false)
- {
- ValidateEmpty = validateEmpty;
- Parameter = parameter;
- }
- public void OnActionExecuting(ActionExecutingContext filterContext)
- {
- string[] validates = Parameter.Split(',');
- foreach(var p in validates)
- {
- string value = filterContext.HttpContext.Request[p];
- if (ValidateEmpty)
- {
- if (string.IsNullOrEmpty(value))
- {
- base.HandleError(filterContext);
- }
- }
- else
- {
- if (value == null)
- {
- base.HandleError(filterContext);
- }
- }
- }
- }
- public void OnActionExecuted(ActionExecutedContext filterContext)
- {
- }
- }
ValidateRegexAttribute:
- public class ValidateRegexAttribute: BaseValidateAttribute,
- IActionFilter
- {
- private Regex _regex;
- public string Pattern {
- get;
- set;
- }
- public string Parameter {
- get;
- set;
- }
- public ValidateRegexAttribute(string parameter, string pattern)
- {
- _regex = new Regex(pattern);
- Parameter = parameter;
- }
- public void OnActionExecuting(ActionExecutingContext filterContext)
- {
- string[] validates = Parameter.Split(',');
- foreach(var p in validates)
- {
- string value = filterContext.HttpContext.Request[p];
- if (!_regex.IsMatch(value))
- {
- base.HandleError(filterContext);
- }
- }
- }
- public void OnActionExecuted(ActionExecutedContext filterContext)
- {
- }
- }
更多的验证同理实现即可。
这样,我们上面的写法就变成:
- [ValidateNull("userName,password")]
- public ActionResult Register(string userName, string password)
综合看起来,还是 ok 的,与上面的 DataAnnotation 可以权衡选择使用,这里我们可以扩展更多有用的信息,如错误描述等等。
总结
当然每种方式都有有缺点,这个是视具体情况选择了。一般参数太多建议就用一个对象包装了。
来源: http://www.phperz.com/article/17/0813/338124.html