来到人间蹉跎二十年,只为你回眸一笑。 --zhu
前言
输入的是垃圾,输出也必然是垃圾,有多少安全问题隐藏在请求的数据中,所以永远不能相信来自用户端的输入。
对请求数据的合法性进行校验,不仅有助于提升用户界面的友好性,而且有助于提高后台程序的安全性和稳定性。
ASP.NET Core 主要通过内置的 DataAnnotations 实现对数据进行校验,DataAnnotations 是一组属性类,用于为模型类的属性添加验证规则,如必填、最大长度、正则表达式等,使用时非常方便。
实现
1、创建 Login 操作方法的请求参数类 LoginRequest
using System.ComponentModel.DataAnnotations;
public class LoginRequest
{
// 直接对类属性设置数据内置检验
[Required]
[EmailAddress]
[RegularExpression("^.*@(qq|163)\\.com$", ErrorMessage = "只支持QQ和163邮箱")]
public string Email { get; set; }
[Required]
[StringLength(10, MinimumLength = 3)]
public string Password { get; set; }
[Compare(nameof(Password), ErrorMessage = "两次密码必须一致")]
public string PasswordConfirm { get; set; }
}
2、打开登录请求控制器,编写 Login API
using Microsoft.AspNetCore.Mvc;
namespace DatavalidSample.Controllers
{
[ApiController]
[Route("[controller]/[action]")]
public class TestController : ControllerBase
{
// 执行时,自动对 LoginRequest 进行数据校验
[HttpPost]
public ActionResult Login(LoginRequest req)
{
return Ok(req);
}
}
}
内置数据校验总结
总的来说,ASP.NET Core 内置数据校验功能适用于大多数简单的数据校验需求,能够提高开发效率和代码可维护性,如果想更多更强功能,第三方框架校验数据更具优势,比如FluentValidation。
FluentValidation优势
- FluentValidation 使用 Fluent 方式配置校验规则,通过链式调用方法,使得编写校验规则变得非常直观和易于理解,可以轻松地构建复杂的校验规则。
- FluentValidation 内置更多的校验规则,可以满足各种复杂的数据校验需求。
- FluentValidation 更方便扩展自定义规则,实现校验逻辑的重用,提高代码的可维护性和复用性。
- FluentValidation 与 ASP.NET MVC、ASP.NET Core、Web API 等框架无缝集成,数据校验和验证可以轻松地与应用程序的其他部分进行交互。
- FluentValidation 支持根据具体的校验规则和场景来定义更加友好和具体的错误消息,提高用户体验。
- FluentValidation 的校验规则更容易进行单元测试。
实现
1、引用Nuget 包
FluentValidation.AspNetCore
2、创建 Login 操作方法的请求参数模型类 LoginRequest
// LoginRequest 类只是一个普通的 C# 类,
// 没有标注任何的 Attribute 或者实现任何的接口,
// 它的唯一责任就是传递数据
public record LoginRequest(string Email, string Password, string PasswordConfirm);
3、编写继承自AbstractValidator的数据校验类
using FluentValidation;
// 数据校验类要继承自 AbstractValidator
// 通过 AbstractValidator 的泛型参数指定对哪个类进行校验
public class LoginRequestValidator: AbstractValidator<LoginRequest>
{
// 校验规则写到校验类的构造方法中
public LoginRequestValidator()
{
// 通过RuleFor来指定要对哪个属性进行校验
// 多个校验规则可以采用链式调用的写法
// 每个需要校验的属性对应一组RuleFor调用
RuleFor(x => x.Email)
.NotNull()
.EmailAddress()
// 在Must方法中编写自定义校验规则,
.Must(v => v.EndsWith("@qq.com") || v.EndsWith("@163.com"))
// 通过WithMessage方法自定义报错信息,
// WithMessage方法设置的报错信息只作用于它之前的那个校验规则
.WithMessage("只支持QQ和163邮箱");
RuleFor(x => x.Password)
.NotNull()
.Length(3, 10).WithMessage("密码长度必须介于3到10之间")
.Equal(x => x.PasswordConfirm).WithMessage("两次密码必须一致");
}
}
4、Program.cs,注册 FluentValidation 服务
using FluentValidation;
using FluentValidation.AspNetCore;
using System.Reflection;
var builder = WebApplication.CreateBuilder(args);
// Add services to the container.
builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();
Assembly assembly = Assembly.GetExecutingAssembly();
builder.Services.AddFluentValidationAutoValidation()
.AddFluentValidationClientsideAdapters()
.AddValidatorsFromAssembly(assembly);
var app = builder.Build();
// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
app.UseSwagger();
app.UseSwaggerUI();
}
app.UseHttpsRedirection();
app.UseAuthorization();
app.MapControllers();
app.Run();
5、编写 Login API
using Microsoft.AspNetCore.Mvc;
namespace FluentValidationSample.Controllers
{
[ApiController]
[Route("[controller]/[action]")]
public class TestController : ControllerBase
{
[HttpPost]
public ActionResult Login(LoginRequest req)
{
return Ok();
}
}
}
总结
- FluentValidation 把数据校验的规则写到单独的数据校验类中,这样模型类和数据校验类各司其职,符合 “单一职责原则”
- 在 FluentValidation 中编写自定义校验代码更加简单
- FluentValidation 和 .NET Core 内置的校验方式是可以共存的,也就是可以一部分校验规则用 FluentValidation 写,另一部分校验规则用 .NET Core 内置的校验方式写(不建议)。