ASP.NET MVC模型绑定1

一、模型绑定原理

模型绑定是指为Controller的Action方法的参数提供值的过程,例如我有一个名为Blog的实体类(准确的说是ViewModel),它有一个名为Title的属性,如果我在VIEW里定义一个文本框<input type="text" id="Title" name="Title"> 和一个提交按钮,然后我在Controller中定义一个Add(Blog blog)的方法,当我们在View中点击提交按钮,会惊奇的发现Add方法中的blog参数的Title值就是我们在文本框中输入的值。

View中用Blog类的强类型辅助方法:@Html.EditorFor(),将Blog类的各个属性名和生成的Html客户端控件ID绑定了起来。

 当 MVC 收到一个 HTTP 请求,它将其路由到一个 Controller 特定的一个 Action 方法。它基于路由数据来决定运行哪个 Action 方法,然后将值从 HTTP 请求绑定到 Action 方法的参数中。例如URL:

http://contoso.com/movies/edit/2

因为路由模板看起来像这样{controller=Home}/{action=Index}/{id?}, movies/edit/2 路由到Movies Controller ,和它的 Edit Action 方法。同时接受到一个可选参数 id 。 Action 方法代码应该看起来像这样:

public IActionResult Edit(int? id)

MVC 尝试通过参数名将请求数据绑定到 Action 的参数上。 MVC 将使用参数名以及它的公开可设置的属性名称查询所有的值。在上面的例子中,只有一个参数命名为 id ,MVC 将路由值中名称相同的值绑定过去。除了路由值之外, MVC 会以一种固定的顺序从 HTTP 请求中的其他部分绑定数据。下面是模型绑定的数据源列表的绑定顺序

  1. form表单中的数据 :这是通过 HTTP POST 请求发送的表单数据(包括 jQuery POST 请求)。
  2. RouteData中的数据 :由 routing 提供的路由数据集。
  3. QueryString中的数据:URI 的查询字符串的一部分。

提示表单值,路由数据,以及查询字符串都以键值对的形式存储。

 

因为模型绑定要找一个命名为 id 的键,但是在表单值里没有命名为 id 的键,所以接下来将在路由数据中找寻这个键。在我们的例子中,它是匹配的。绑定发生时,该值转换为 integer 类型的 2。相同的请求使用 Edit(string id) 将转换成 string 类型的值 “2” 。

到目前为止的例子使用的都是简单类型。在 MVC 中简单类型是任何 .NET 原始类型或者带字符串的类型的转换器。如果 Action 方法的参数是一个类,这个类包含简单类型和复杂类型的属性,MVC 的模型绑定仍然可以很好的处理它。它使用反射和递归遍历复杂类型寻找匹配的属性。模型绑定寻找 parameter_name.parameter_name 的模式去绑定值到属性上。如果没有从表单中找到匹配的值,将尝试只通过 property_name 进行绑定。对于那些集合(Collection)类型,模型绑定会去匹配 parameter_name[index] 或者只是 [index] 。模型绑定对待字典(Dictionary)类型也是一样,寻找 parameter_name[key] 或只是 [key] ,前提是 Key是简单类型。 Key支持匹配HTML 和 Tag Helpers 为相同的模型类型生成的字段名。当创建或者编辑的绑定数据未通过验证的时候,回传值使得用户输入的表单字段仍然保留,方便了用户(不必重新输入全部数据)。

为了绑定发生,这个类必须有一个公开的默认构造函数,并且被绑定的成员必须是公开的,并且可写的属性。当模型绑定发生的时候只会通过默认的构造函数去实例化类型,然后设置属性的值。

当一个参数被绑定,模型绑定停止继续查找这个参数名并开始绑定下一个参数。如果绑定失败, MVC 不会抛出异常。你可以查询模型状态异常通过检查 ModelState.IsValid 属性。

 

 

 

提示:Controller 的 ModelState 属性中的每个 Entry 都是一个包含了 Errors 属性 的 ModelStateEntry。 你基本不需要去查询这个集合。使用 ModelState.IsValid 来替代它。

 

此外,还有一些特殊的数据类型在 MVC 执行模型绑定的时候需要考虑:

  1. IFormFile, IEnumerable<IFormFile>: 一个或多个通过 HTTP 请求上传的文件。
  2. CancelationToken:用于在异步 Controller 中取消活动。

这些类型可以被绑定到 Action 参数或者一个类的属性中。

一旦模型绑定完成,就会进行 验证 。默认的模型绑定适合绝大多数开发场景。它也是可扩展的,所以如果你有独特的需求,你可以自定义内置的行为。

 

 

二、通过 Attributes 自定义模型绑定行为

MVC 包含几种让你可以指定与默认绑定源不同行为的 Attribute 。比如,你可以通过使用 [BindRequired] 或者 [BindNever] Attribute 指定一个属性是否需要绑定,或者它是否应该不发生。另外你可以替换默认的数据源,指定模型绑定器(Model Binder)的数据源。下面的是模型绑定 Attribute 的列表:

  1.  [BindRequired]:这个 Attribute 表示如果这个绑定不能发生,将添加一个模型状态错误(Model State Error)。
  2.  [BindNever]:告诉模型绑定器(Model Binder)这个参数不进行绑定。
  3.  [FromHeader], [FromQuery], [FromRoute], [FromForm]:通过这些来指定期望的绑定源。
  4.  [FromServices]:这个Attribute 使用dependency injection 通过服务来绑定参数。
  5.  [FromBody]:使用配置好的格式化器来从HTTP请求Body中绑定数据。格式化器的选择基于HTTP请求的 Content-Type
  6.  [ModelBinder]:用来替换默认的模型绑定器(Model Binder),绑定源和名字。

当你需要替换模型绑定的默认行为时,Attribute 是非常有用的工具。

 

 三、从 Http Request 的 body 中绑定格式化数据

 HTTP请求数据能够支持各种各样的格式,包括 JSON 、XML以及许多其它的格式。当你使用 [FromBody] 特性的时候表示你想要从HTTP请求的Body中绑定参数, MVC使用一个格式化器的配置集来处理与HTTP请求的Content-Type 对应的请求数据。默认情况下MVC 包含一个 JsonInputFormatter 类用来处理 JSON 数据,但是你可以添加额外的格式化器来处理XML或者其它自定义格式。

 

提示:

JsonInputFormatter 是默认的格式化器,它是基于Json.NET。

 

ASP.NET 选择输入格式化器基于 Content-Type Header 以及参数的类型,除非这里有一个 Attribute 去指定其它的。如果你更喜欢使用 XML 或者其他格式,你必须在 Startup.cs 文件中进行配置,但是首先你必须使用 NuGet 引用 Microsoft.AspNetCore.Mvc.Formatters.Xml 。你的启动代码看起来应该像这样:

 

复制代码

public void ConfigureServices(IServiceCollection services)

{

    services.AddMvc()

       .AddXmlSerializerFormatters();

}

 

Startup.cs 文件中的代码包含了一个带有 services 参数的 ConfigureServices 方法,你可以使用它来为你的 ASP.NET 应用构建服务。在示例中,我们添加一个 XML 格式化器作为一个在此应用中 MVC 能够提供的的服务。 options 参数传入 AddMvc 方法允许你去添加和管理过滤器(Filter),格式化器(Formatter),以及其它 MVC 的系统选项从应用中启动。然后应用 各种各样的 Attribute 到 Controller 类或者 Action 方法上去实现你预期的效果。

 

 四、绑定的例子

在WebForm,获取提交表单的值一般都是Request.Form["Title"]这样的方式

控制器方法的参数可以是字符串,整型变量,实体或者是List<实体>的方式获取表单提交的参数。

参数名称等内容需要与表单中的Html控件的name属性 一 一 对应的。

例如方法:

        public ActionResult PersonAdd(int Id)
        {
            return View();
        }

  例如以上代码,它能够匹配Url中的Id参数。如以下两种方法Id都能够匹配到1

  http://localhost/Home/PersonAdd/1
  http://localhost/Home/PersonAdd?Id=1 

再例如:

        public ActionResult PersonAdd(string Name)
        {
            return View();
        }

    它能够匹配到表单中提交的张三: <input type="text" name="Name" value="张三" />

    也能够匹配到Get请求的路径参数:http://localhost/Home/PersonAdd?Name=张三

 

  如果是用实体,则会检查该实体的属性名与表单中name属性中对应的标签的值。

  例如有如下实体:

    public class Person_Model
    {
        public int Id { get; set; }

        public string Name { get; set; }
    }

在Controller中的参数填写如下:

[HttpPost]
public ActionResult PersonAdd(Person_Model model)
{
  if (ModelState.IsValid)  //此处仅作演示,不考虑安全性
  {
    //插入数据库省略
    return Redirect("/Home/PersonManager");
  }
  return View();
}

这样的话,模型绑定器会自动检查该实体的属性与Name一一对应的标签并绑定。如下表单的值将被绑定到model实体的属性中。

  <input type="hidden" name="Id" value="1" />
  <input type="text" name="Name" value="张三" />



简单参数和复杂参数

  如果Action方法的参数类型是值类型和字符串类型,那么DefaultModelBinder将寻找与Action参数名称匹配的参数,如果没有对应的参数,那么Action的参数将试图赋予空引用。因此,对于简单类型的参数来说,参数的类型应该是可空的。

  多数情况下,我们会通过一个Model对象来处理复杂的参数,DefaultModelBinder会遍历Model对象的属性来绑定参数。
  如果不希望DefaultModelBinder对某个参数进行绑定,可以通过BindAttribute进行说明,其中定义了三个属性:

  • Include表示需要绑定的属性,各个属性之间以逗号进行分隔。
  • Exclude表示不需要绑定的属性,各个属性之前以逗号分隔。
  • Prefix表示请求参数的前缀。  ??

  这些标签可以定义在Model上,说明在参数绑定过程中需要绑定的属性或者不需要绑定的属性,如:

复制代码
[Bind(Include = "Name,Birthday")]
public class Person
{
  public int Id { get; set; }
  public string Name { get; set; }
  public DateTime Birthday{ get; set; }
}
复制代码

   在UpdateModel方法中,指定包含的属性和不包含的属性。

UpdateModel(
  person,     //Model 对象
  "person",    //Prefix ??
  new[] { "Id","Name" },  //Include
  new [] { "Birthday" }   //Exclude
);

 

五、模型显式绑定

  UpdateModel与TryUpdateModel都用于显示模型绑定。如果绑定期间出现错误或者模型是无效的。

  UpdateModel将抛出一个异常。因此UpdateModel要用try catch语句块包起来,而TryUpdateModel不会抛出异常,而是返回一个布尔类型的值,true表示绑定成功,false表示绑定失败。如:

[HttpPost]
public ActionResult PersonAdd()          方法无参数
{
  Person_Model model = new Person_Model();  //定义类对象
  try
  {
    UpdateModel(model);        //显式绑定
    //插入数据库
    return Redirect("/Home/PersonManager");
  }
  catch
  {
    return View(model);
  }
}

 

 

六、模型绑定的安全性【绑定部分属性、多类同名】

假设有如下实体

public class Comment
{
  public int Id { get; set; }
  //评论者姓名
  public string Name { get; set; }
  //评论内容
  public string Content { get; set; }
  //是否已审核
  public bool Approved { get; set; }
}

控制器中的方法

public ActionResult CommentAdd(Comment com)
{
  if (ModelState.IsValid)
  {
    //添加数据库
    return Redirect("/Home/CommentManager");
  }
  else
  {
    return View(com);
  }
}

在以上代码中,如果有恶意用户在表单数据中添加"Approved=true"来干预表单的提交,那么该评论将是默认就通过审核的。这时候我们可以使用Bind特性来防御重复提交攻击。

可以用下面的属性禁止某些属性的绑定:

[Bind(Include="Name,Content")]      //白名单,只绑定这两个属性
[Bind(Exclude="Id,Approved")]        //黑名单,不绑定这两个属性

public ActionResult CommentAdd([Bind(Exclude="Approved")]Comment com)       禁止Approved绑定
{
  if (ModelState.IsValid)
  {
    //添加数据库
    return Redirect("/Home/CommentManager");
  }
  else
  {
     return View(com);
  }
}

 另外,UpdateModel与TryUpdateModel也有一个重载版本来接收一个绑定列表:

UpdateModel(com, "", new string[] { "Id", "Name", "Content" });



还可以另外定义一个ViewModel,仅仅包括需要绑定的属性。


另外,如果两个类有相同的Name属性,要同时绑定,区分HTML可以这样写:【多个类属性名称相同的情况

<p>客户名称: <input type="text" name="customer.Name" style="width: 300px" /></p>
<p>销售员名称: <input type="text" name="salesman.Name" style="width: 300px" /></p>

 
posted @ 2020-02-17 17:56  清语堂  阅读(572)  评论(0编辑  收藏  举报