前言
參數驗證是一個常見的問題����,無論是前端還是后臺�����,都需對用戶輸入進行驗證�,以此來保證系統數據的正確性。對于web來說��,有些人可能理所當然的想在前端驗證就行了�,但這樣是非常錯誤的做法,前端代碼對于用戶來說是透明的����,稍微有點技術的人就可以繞過這個驗證�,直接提交數據到后臺����。無論是前端網頁提交的接口,還是提供給外部的接口,參數驗證隨處可見�����,也是必不可少的��??傊?��,一切用戶的輸入都是不可信的����。
參數驗證有許多種方式進行,下面以mvc為例�,列舉幾種常見的驗證方式��,假設有一個用戶注冊方法
[HttpPost]public ActionResult Register(RegisterInfo info)
一、通過 if-if 判斷
if(string.IsNullOrEmpty(info.UserName)){ return FailJson("用戶名不能為空");}if(string.IsNullOrEmpty(info.Password)){ return FailJson("用戶密碼不能為空")} 逐個對參數進行驗證����,這種方式最粗暴���,但當時在WebForm下也確實這么用過。對于參數少的方法還好��,如果參數一多�����,就要寫n多的if-if�����,相當繁瑣,更重要的是這部分判斷沒法重用��,另一個方法又是這樣判斷�����。
二�、通過 DataAnnotation
mvc提供了DataAnnotation對Action的Model進行驗證,說到底DataAnnotation就是一系列繼承了ValidationAttribute的特性�����,例如RangeAttribute,RequiredAttribute等等���。ValidationAttribute 的虛方法IsValid 就是用來判斷被標記的對象是否符合當前規則���。asp.net mvc在進行model binding的時候����,會通過反射,獲取標記的ValidationAttribute�����,然后調用 IsValid 來判斷當前參數是否符合規則���,如果驗證不通過�,還會收集錯誤信息����,這也是為什么我們可以在Action里通過ModelState.IsValid判斷Model驗證是否通過,通過ModelState來獲取驗證失敗信息的原因���。例如上面的例子:
public class RegisterInfo{ [Required(ErrorMessage="用戶名不能為空")] public string UserName{get;set;} [Required(ErrorMessage="密碼不能為空")] public string Password { get; set; }} 事實上在webform上也可以參照mvc的實現原理實現這個過程。這種方式的優點的實現起來非常優雅���,而且靈活,如果有多個Action共用一個Model參數的話���,只要在一個地方寫就夠了,關鍵是它讓我們的代碼看起來非常簡潔���。
不過這種方式也有缺點,通常我們的項目可能會有很多的接口����,比如幾十個接口����,有些接口只有兩三個參數�����,為每個接口定義一個類包裝參數有點奢侈����,而且實際上為這個類命名也是非常頭疼的一件事�。
三����、DataAnnotation 也可以標記在參數上
通過驗證特性的AttributeUsage可以看到,它不只可以標記在屬性和字段上,也可以標記在參數上。也就是說,我們也可以這樣寫:
public ActionResult Register([Required(ErrorMessage="用戶名不能為空")]string userName, [Required(ErrorMessage="密碼不能為空")]string password)
這樣寫也是ok的��,不過很明顯�,這樣寫很方法參數會難看,特別是在有多個參數,或者參數有多種驗證規則的時候��。
四�����、自定義ValidateAttribute
我們知道可以利用過濾器在mvc的Action執行前做一些處理�,例如身份驗證��,授權處理的����。同理����,這里也可以用來對參數進行驗證��。FilterAttribute是一個常見的過濾器,它允許我們在Action執行前后做一些操作,這里我們要做的就是在Action前驗證參數,如果驗證不通過��,就不再執行下去了�����。
定義一個BaseValidateAttribute基類如下:
public class BaseValidateAttribute : FilterAttribute{ protected virtual void HandleError(ActionExecutingContext context) { for (int i = ValidateHandlerProviders.Handlers.Count; i > 0; i--) { ValidateHandlerProviders.Handlers[i - 1].Handle(context); if (context.Result != null) { break; } } }} HandleError 用于在驗證失敗時處理結果�,這里ValidateHandlerProviders提過IValidateHandler用于處理結果�����,它可以在外部進行注冊。IValidateHandler定義如下:
public interface IValidateHandler{ void Handle(ActionExecutingContext context);} ValidateHandlerProviders定義如下,它有一個默認的處理器���。
public class ValidateHandlerProviders{ public static List<IValidateHandler> Handlers { get; private set; } static ValidateHandlerProviders() { Handlers = new List<IValidateHandler>() { new DefaultValidateHandler() }; } public static void Register(IValidateHandler handler) { Handlers.Add(handler); }} 這樣做的目的是,由于我們可能有很多具體的ValidateAttribute,可以把這模塊獨立開來,而把最終的處理過程交給外部決定�,例如我們在項目中可以定義一個處理器:
public class StanderValidateHandler : IValidateHandler{ public void Handle(ActionExecutingContext filterContext) { filterContext.Result = new StanderJsonResult() { Result = FastStatnderResult.Fail("參數驗證失敗", 555) }; }} 然后再應用程序啟動時注冊:ValidateHandlerProviders.Handlers.Add(new StanderValidateHandler());
舉個兩個栗子:
ValidateNullttribute:
public class ValidateNullAttribute : BaseValidateAttribute, IActionFilter{ public bool ValidateEmpty { get; set; } public string Parameter { get; set; } public ValidateNullAttribute(string parameter, bool validateEmpty = false) { ValidateEmpty = validateEmpty; Parameter = parameter; } public void OnActionExecuting(ActionExecutingContext filterContext) { string[] validates = Parameter.Split(','); foreach (var p in validates) { string value = filterContext.HttpContext.Request[p]; if(ValidateEmpty) { if (string.IsNullOrEmpty(value)) { base.HandleError(filterContext); } } else { if (value == null) { base.HandleError(filterContext); } } } } public void OnActionExecuted(ActionExecutedContext filterContext) { }} ValidateRegexAttribute:
public class ValidateRegexAttribute : BaseValidateAttribute, IActionFilter{ private Regex _regex; public string Pattern { get; set; } public string Parameter { get; set; } public ValidateRegexAttribute(string parameter, string pattern) { _regex = new Regex(pattern); Parameter = parameter; } public void OnActionExecuting(ActionExecutingContext filterContext) { string[] validates = Parameter.Split(','); foreach (var p in validates) { string value = filterContext.HttpContext.Request[p]; if (!_regex.IsMatch(value)) { base.HandleError(filterContext); } } } public void OnActionExecuted(ActionExecutedContext filterContext) { }} 更多的驗證同理實現即可����。
這樣�,我們上面的寫法就變成:
[ValidateNull("userName,password")]public ActionResult Register(string userName, string password) 綜合看起來,還是ok的�����,與上面的DataAnnotation可以權衡選擇使用��,這里我們可以擴展更多有用的信息�����,如錯誤描述等等。
總結
當然每種方式都有有缺點�,這個是視具體情況選擇了�����。一般參數太多建議就用一個對象包裝了。
注:相關教程知識閱讀請移步到ASP.NET教程頻道���。
