Asp.net WebAPI Request参数验证-请不要重复造轮子
随着web客户端的发展,现在很多公司都有专业的前端开发,做到系统前后端分离。ap.net后端典型的就是采用webapi,但是发现很多时候大家对webapi并不了解,这里我们来说说输入参数的验证。前一段时间我们项目组也开始使用webapi来开发接口,开发之初发现设计了很多输入参数的验证规则(不适用,不好用并且还不能满足需求),然后我们在写业务的方法还的调用参数的验证方法, 所以开发是很郁闷的,bug也很多。。。,后来才发现 网上已有类似的博客:http://www.cnblogs.com/r01cn/p/3193095.html
好我们先看效果图吧:
我们的请求对象中有2个属性,teamId和start,其中start可以为空,但是如果有值就必须是日期类型且有效,如这里的“2016-2-30“是无效日期,这里的teamid是DB里面一张表的主键,所以我们要创建自定义的验证规则访问数据库来验证其值得有效性。
自定义验证类:
public class DBRecordCheckAttribute : ValidationAttribute { public DBRecordCheckAttribute(string filter) { Filter = filter; } public override string FormatErrorMessage(string name) { return "The value '" + this.ValueStr + "' is not valid for " + name; } public override bool IsValid(object value) { ValueStr = value == null ? string.Empty : value.ToString(); if (string.IsNullOrEmpty(Filter)) return true; DBContext db = new DBContext(); IDbCommand command = db.Database.Connection.CreateCommand(); command.CommandType = CommandType.Text; command.CommandText = Filter; var p1 = command.CreateParameter(); p1.ParameterName = "@p1"; p1.Value = value; command.Parameters.Add(p1); command.Connection.Open(); var result = Convert.ToInt32(command.ExecuteScalar()); command.Connection.Close(); return result>0; } private string ValueStr { set; get; } public string Filter { set; get; } }
同时我们还需要一个ActionFilterAttribute的子类来实现验证,验证通过才能访问我们的action,实际中需要验证我们的身份如token, 建议token实时更新保证一次token只能被使用一次,防止api(更新、删除)被重复调用。
public class ValidParameterAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)
{
base.OnActionExecuting(actionContext);
bool vaildedtoken = false;
//
try
{
vaildedtoken = true;
var token = actionContext.Request.Headers.GetValues("token");
// valid token
}
catch { }
if (!vaildedtoken || !actionContext.ModelState.IsValid) {
var errors = actionContext.ModelState.Values.Select(x => x.Errors);
List<string> errormsg = new List<string>();
foreach (var item in errors)
{
for (int i = 0; i < item.Count; i++)
{
errormsg.Add(item[i].ErrorMessage);
}
}
var response = new HttpResponseMessage();
response.Content = new StringContent(string.Join("\n",errormsg.ToArray()));
response.StatusCode = HttpStatusCode.BadRequest;
throw new System.Web.Http.HttpResponseException(response);
}
}
}
使用如下:
public class UserInfo { [DBRecordCheckAttribute("SELECT COUNT(*) FROM [dbo].[qal_team] where[team_id]=@p1")] public int teamId { set; get; } [DataType(DataType.Date)] public DateTime? start { set; get; } } [ValidParameter] public class ValuesController : ApiController { // GET api/values public IEnumerable<string> Get([FromUri] UserInfo info) { return new string[] { "value1", "value2" }; } }
在我们的业务ValuesController没有任何的验证,code是不是比较整洁了。当我们做设计的时候,我们一定要熟悉我们所使用的平台和技术,不然就像我们项目组里面在自己的action里面去写参数验证的逻辑是不对的。
这里也还有 跟简单的写法:
http://www.cnblogs.com/r01cn/archive/2012/12/04/2801664.html
欢迎大家拍砖!
windows技术爱好者
