REST API数据验证

已于 2023-01-24 21:53:52 修改
阅读量195 收藏
点赞数
分类专栏: C# 文章标签: DDD
于 2023-01-23 13:23:02 首次发布

原文链接

系列文章目录

一、简单的CQRS实现与原始SQL和DDD
二、使用EF的领域模型的封装和持久化透明(PI)
三、REST API数据验证
四、领域模型验证
五、如何发布和处理领域事件
六、处理领域事件:缺失的部分
七、发件箱模式(The Outbox Pattern)
八、.NET Core中的旁路缓存模式(Cache-Aside Pattern)

引言

这一次,我将描述如何保护REST API应用程序免受包含无效数据的请求(数据验证过程)的影响。然而,不幸的是,仅仅验证我们的请求是不够的。除了验证之外,我们还负责将相关消息和状态返回给API客户端。我想在这篇文章中处理这两件事。

数据验证

数据验证(Data validation)的定义

什么是数据验证?我发现最好的定义来自UNECE数据编辑组(UNECE Data Editing Group):

一种旨在验证数据项的值是否来自给定(有限或无限)的可接受值集的活动。

根据这个定义,我们应该验证从外部源进入应用程序的数据项,并检查它们的值是否可接受。我们怎么知道这个值是可以接受的呢?我们需要为系统中正在处理的每种类型的数据项定义数据验证规则。

数据与业务规则验证(Business Rules validation

我想强调的是,数据验证与业务规则验证是完全不同的概念。数据验证的重点是验证原子数据项。业务规则验证是一个更广泛的概念,更接近业务的工作和行为方式。所以它主要关注行为。当然,验证行为也依赖于数据,但范围更广。

数据验证的例子:

  • 产品订单数量不能为负或零
  • 产品的订货数量应该是一个数字
  • 订单货币应该是货币列表中的值

业务规则验证的示例:

  • 只有当客户年龄等于或大于产品最小年龄时,才能订购产品。
  • 客户一天只能下两份订单。

返回相关信息

如果我们承认在验证过程中规则被破坏了,我们必须停止处理并将相应的消息返回给客户端。我们应该遵循以下规则:

  • 我们应该尽可能快地将消息返回给客户端(快速失败[Fail-fast]原则)
  • 验证错误的原因应该很好地向客户解释和理解
  • 我们不应该出于安全原因而返回技术层面(we should not return technical aspects for security reasons)

HTTP APIs标准的问题细节

返回错误消息的问题非常普遍,因此创建了一个特殊的标准来描述如何处理这种情况。它被称为“HTTP APIs标准的问题细节”,他的官方描述可以在这个链接找到。以下是该标准的摘要:

本文档将“问题细节”定义为一种在HTTP响应中携带机器可读的(machine-readable)错误细节的方法,以避免为HTTP APIs定义新的错误响应格式。

问题细节标准引入了问题细节JSON对象(Problem Details JSON object),当验证错误发生时,它应该是响应的一部分。这是一个简单的规范模型,有5个成员:

  • 问题类型
  • 标题
  • HTTP状态码
  • 错误细节
  • 实例(指向特定事件的指针)

当然,我们可以(有时我们应该)通过添加新属性来扩展这个对象,但基类应该是相同的。正因为如此,我们的API更容易理解、学习和使用。有关标准的更详细信息,我推荐您阅读文档,其中有很好的描述。

数据验证本地化

对于标准应用程序,我们可以将数据验证逻辑放在三个地方:

  • GUI ——它是用户输入的入口点。数据在客户端进行验证,例如在Web应用程序中使用Javascript
  • 应用程序逻辑/服务层——在服务器端的特定应用程序服务或命令处理程序中验证数据
  • 数据库——这是请求处理的出口点,也是验证数据的最后时刻

image

在本文中,我省略了GUI和数据库组件,主要关注应用程序的服务器端。让我们看看如何在应用程序服务层实现数据验证。

实现数据验证

假设我们有一个AddCustomerOrderCommand命令:

public class AddCustomerOrderCommand : IRequest
{
    public Guid CustomerId { get; }

    public List<ProductDto> Products { get; }

    public AddCustomerOrderCommand(
        Guid customerId, 
        List<ProductDto> products)
    {
        this.CustomerId = customerId;
        this.Products = products;
    }
}

public class ProductDto
{
    public Guid Id { get; set; }

    public int Quantity { get; set; }

    public string Currency { get; set; }

    public string Name { get; set; }
}

假设我们要验证4件事:

  1. CustomerId不是空GUID。
  2. 产品列表不是空的
  3. 每个产品数量大于0
  4. 每个产品货币是美元或欧元

让我来展示这个问题的3个解决方案——从简单到最复杂。

1. 应用程序服务上的简单验证

首先想到的是命令处理程序本身的简单验证。在这个解决方案中,我们需要实现一个私有方法来验证我们的命令,并在验证错误发生时抛出异常。从清洁代码的角度来看,在单独的方法中关闭这种逻辑更好。

public class AddCustomerOrderCommandHandler : IRequestHandler<AddCustomerOrderCommand>
{
    private readonly ICustomerRepository _customerRepository;
    private readonly IProductRepository _productRepository;

    public AddCustomerOrderCommandHandler(
        ICustomerRepository customerRepository, 
        IProductRepository productRepository)
    {
        this._customerRepository = customerRepository;
        this._productRepository = productRepository;
    }

    public async Task<Unit> Handle(AddCustomerOrderCommand request, CancellationToken cancellationToken)
    {
        Validate(request);
        var customer = await this._customerRepository.GetByIdAsync(request.CustomerId);

        // logic..
    }

    private static void Validate(AddCustomerOrderCommand command)
    {
        var errors = new List<string>();

        if (command.CustomerId == Guid.Empty)
        {
            errors.Add("CustomerId is empty");
        }

        if (command.Products == null || !command.Products.Any())
        {
            errors.Add("Products list is empty");
        }
        else
        {
            if (command.Products.Any(x => x.Quantity < 1))
            {
                errors.Add("At least one product has invalid quantity");
            }

            if (command.Products.Any(x => x.Currency != "USD" && x.Currency != "EUR"))
            {
                errors.Add("At least one product has invalid currency");
            }
        }

        if (errors.Any())
        {
            var errorBuilder = new StringBuilder();

            errorBuilder.AppendLine("Invalid order, reason: ");

            foreach (var error in errors)
            {
                errorBuilder.AppendLine(error);
            }

            throw new Exception(errorBuilder.ToString());
        }
    }
}

无效命令执行的结果:

image

这不是很坏的方法,但有两个缺点。首先,它涉及到我们编写大量简单的样板代码——与空值,默认值,列表值等进行比较。其次,我们在这里失去了关注点分离的一部分,因为我们将验证逻辑与编排用例流混合在一起。让我们先看一下样板代码。

2. 使用FluentValidation库进行验证

我们不想重新发明轮子,所以最好的解决方案是使用库。幸运的是,在. Net世界中有一个很棒的验证库—— Fluent Validation。它有很好的API和很多特性。下面是我们如何使用它来验证我们的命令:

public class AddCustomerOrderCommandValidator : AbstractValidator<AddCustomerOrderCommand>
{
    public AddCustomerOrderCommandValidator()
    {
        RuleFor(x => x.CustomerId).NotEmpty().WithMessage("CustomerId is empty");
        RuleFor(x => x.Products).NotEmpty().WithMessage("Products list is empty");
        RuleForEach(x => x.Products).SetValidator(new ProductDtoValidator());
    }
}

public class ProductDtoValidator : AbstractValidator<ProductDto>
{
    public ProductDtoValidator()
    {
        this.RuleFor(x => x.Currency).Must(x => x == "USD" || x == "EUR")
            .WithMessage("At least one product has invalid currency");
        this.RuleFor(x => x.Quantity).GreaterThan(0)
            .WithMessage("At least one product has invalid quantity");
    }
}

现在,Validate方法看起来像下面这样:

private static void Validate(AddCustomerOrderCommand command)
{
    AddCustomerOrderCommandValidator validator = new AddCustomerOrderCommandValidator();

    var validationResult = validator.Validate(command);
    if (!validationResult.IsValid)
    {
        var errorBuilder = new StringBuilder();

        errorBuilder.AppendLine("Invalid order, reason: ");

        foreach (var error in validationResult.Errors)
        {
            errorBuilder.AppendLine(error.ErrorMessage);
        }

        throw new Exception(errorBuilder.ToString());
    }
}

验证的结果与前面相同,但是现在我们的验证逻辑更清晰了。最后要做的是将这个逻辑与命令处理程序完全解耦……

3. 使用管道模式(Pipeline Pattern)进行验证

为了解耦验证逻辑并在命令处理程序执行之前执行它,我们将命令处理过程安排在管道中(参见NServiceBus管道)。

对于管道实现,我们可以很容易地使用MediatR Behaviors。首先要做的是行为实现(behavior implementation):

public class CommandValidationBehavior<TRequest, TResponse> : IPipelineBehavior<TRequest, TResponse>
{
    private readonly IList<IValidator<TRequest>> _validators;

    public CommandValidationBehavior(IList<IValidator<TRequest>> validators)
    {
        this._validators = validators;
    }

    public Task<TResponse> Handle(TRequest request, CancellationToken cancellationToken, RequestHandlerDelegate<TResponse> next)
    {
        var errors = _validators
            .Select(v => v.Validate(request))
            .SelectMany(result => result.Errors)
            .Where(error => error != null)
            .ToList();

        if (errors.Any())
        {
            var errorBuilder = new StringBuilder();

            errorBuilder.AppendLine("Invalid command, reason: ");

            foreach (var error in errors)
            {
                errorBuilder.AppendLine(error.ErrorMessage);
            }

            throw new Exception(errorBuilder.ToString());
        }

        return next();
    }
}

接下来要做的是在IoC容器中注册行为(以Autofac为例):

public class MediatorModule : Autofac.Module
{
    protected override void Load(ContainerBuilder builder)
    {
        builder.RegisterAssemblyTypes(typeof(IMediator).GetTypeInfo().Assembly).AsImplementedInterfaces();

        var mediatrOpenTypes = new[]
        {
            typeof(IRequestHandler<,>),
            typeof(INotificationHandler<>),
            typeof(IValidator<>),
        };

        foreach (var mediatrOpenType in mediatrOpenTypes)
        {
            builder
                .RegisterAssemblyTypes(typeof(GetCustomerOrdersQuery).GetTypeInfo().Assembly)
                .AsClosedTypesOf(mediatrOpenType)
                .AsImplementedInterfaces();
        }

        builder.RegisterGeneric(typeof(RequestPostProcessorBehavior<,>)).As(typeof(IPipelineBehavior<,>));
        builder.RegisterGeneric(typeof(RequestPreProcessorBehavior<,>)).As(typeof(IPipelineBehavior<,>));

        builder.Register<ServiceFactory>(ctx =>
        {
            var c = ctx.Resolve<IComponentContext>();
            return t => c.Resolve(t);
        });

        builder.RegisterGeneric(typeof(CommandValidationBehavior<,>)).As(typeof(IPipelineBehavior<,>));
    }
}

通过这种方式,我们实现了关注点分离和快速故障原则的实现。

但这还没有结束。最后,我们需要处理返回给客户端的消息。

实现问题细节标准

就像在验证逻辑实现的情况下一样,我们将使用专用的库——ProblemDetails。这个机构的原理很简单。首先,我们需要创建一个自定义异常:

public class InvalidCommandException : Exception
{
    public string Details { get; }
    public InvalidCommandException(string message, string details) : base(message)
    {
        this.Details = details;
    }
}

其次,我们必须创建自己的Problem Details类:

public class InvalidCommandProblemDetails : Microsoft.AspNetCore.Mvc.ProblemDetails
{
    public InvalidCommandProblemDetails(InvalidCommandException exception)
    {
        this.Title = exception.Message;
        this.Status = StatusCodes.Status400BadRequest;
        this.Detail = exception.Details;
        this.Type = "https://somedomain/validation-error";
    }
}

最后要做的是添加问题细节中间件,在启动时定义InvalidCommandExceptionInvalidCommandProblemDetails类之间的映射:

services.AddProblemDetails(x =>
{
    x.Map<InvalidCommandException>(ex => new InvalidCommandProblemDetails(ex));
});

....

app.UseProblemDetails();

在改变CommandValidationBehavior(抛出InvalidCommandException而不是Exception)之后,我们返回了与标准兼容的内容:

image

总结

在这篇文章中,我描述了:

  • 什么是数据验证以及数据验证的位置
  • HTTP APIs的问题细节是什么,如何实现
  • 在应用程序服务层实现数据验证的3种方法:不使用任何模式和工具,使用FluentValidation库,最后使用管道模式和MediatR Behaviors。

源代码

如果你想看到完整的工作示例——查看我的GitHub存储库

港港胡说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用接口开放平台设计与实现——(4)API服务之数据验证
学海无涯,行者无疆
02-14 851
上篇介绍了使用职责链模式实现了API服务的框架设计与实现,并定义了一个简单的数据验证过滤器ValidateDataFilter来做测试,今天我们把数据验证功能给实现了。。为保证系统的稳定可靠运行,必须对输入的数据进行严格验证,防止一些非法的异常数据引发系统后续处理流程出错甚至崩溃。同时,对于验证失败的情况,需要输出明确的、友好的错误信息,以便对接方开发和调试,以及上线后运行异常排查。数据验证实际分为两大类工作,一类是基本的数据验证,主要是验证输入参数是否为空等;
API安全机制之数据校验
大军的博客
02-25 285
API安全机制之数据校验
使用Bean Validation 做RestApi请求数据验证
mojolang
07-17 1055
我们在系统中经常会遇到需要对输入的数据进行验证。 这里我们使用Spring Boot 结合Bean Validation API来进行数据验证。 Bean Validation API是Java定义的一个验证参数的规范。 具体可以参考:http://beanvalidation.org/specification/ 依赖 在pom文件中加入spring-boot-starter-vali...
请求数据校验
qq_24769781的博客
06-15 95
上文中,我们提到了.NET Core中内置数据校验机制的不足,这里向读者推荐优秀的数据校验框架FentValidaion 它可以让我们用类似于.NET Core中Fluent API的方式进行校验规则的配置,也就是我们可以把对模型类的校验放到单独的校验类中。在程序中,需要进行数据验证的场景经常存在,且数据验证是有必要的。1:我们的校验规则都是跟模型类耦合在一起的,这违返了面向对象的“单一职责原则”,而且同一个模型类在不同的地方可能需要不同的校验规则,这种难以实现.[比较]:验证模型中的两个属性是否匹配。
8.5请求数据校验
博客
08-27 496
8.5请求数据校验
sisensePY:一组脚本,用于通过Sisense REST API检索数据
03-09
sisensePY 一个Python库,用于通过Sisense REST API检索,合并以及格式化/输出各种数据。项目状态: 正在施工:construction:!关于是功能强大的分析平台,是Tableau和PowerBI等工具的竞争对手。 提供的众多功能之一...
OpenDaylight REST API研究
07-22
Topology REST API数据模型由以下元素组成: * edge:表示网络拓扑结构中的边。 * node:表示网络拓扑结构中的节点。 * nodeConnector:表示节点连接器。 * edgeProperties:表示边的属性。 * ...
cide-api:检查数据收集工具REST API
02-21
API verzus APP身份验证对于REST服务,您不需要Flask-Login。 通常,在Web服务中,您不存储客户端状态(Flask-Login这样做),而是对每个请求进行身份验证。 Flask-HTTPAuth为您做到这一点。 仅当您拥有一个具有Web...
restAPI-Mongoose
05-01
RestApi对[ Express , Mongoose ]支持的数据执行CRUD。 使用Validator进行的凭证验证。 使用bcryptjs进行密码哈希处理。 使用jasonwebtoken的用户身份验证中间件。 环境变量env-cmd 。 创建/删除帐户后向用户...
RestAPI-CRUD
03-10
Django Rest身份验证 安装 pip install django pip install djangorestframework pip install django-rest-auth pip install django-allauth 结构 在RESTful API中,端点(URL)定义API的结构以及最终用户如何...
web渗透--37--业务逻辑数据验证
武天旭的博客
09-21 871
1、漏洞描述 应用程序必须确保只有逻辑有效的数据才能在系统应用服务器的前端输入。只有在服务器上验证数据,才能避免通过代理等方式篡改数据注入到服务器。 关于业务数据漏洞验证,是在应用程序中特有的,不同于构造请求的漏洞,它们不仅关注逻辑数据,更关心打破业务逻辑流程所带来的问题。 应用程序的前端和后端都必须校验验证所拥有的数据,这种方法已经被使用,并通过了逻辑有效性证明。
根据业务情况对数据校验
zwanying的博客
07-04 614
在开发过程中,数据校验是离不开的,了解业务是做好校验的基础。 对于人物的校验,可以判断他的角色,类型,是否存在等,来确保在某个场景下,这个任务的数据是对的。 对于其他数据的判断,最常见的就是非空判断,在后续使用中,可能因为这个数据为空导致空指针报错,所以对所有可能为空的数据都要提前进行非空判断。 对于某些业务情况不了解时,除了询问相关业务人员外,也可以通过查询数据库,对里面的数据做个统计分析,写个...
delphi 怎么让datasnap接收https的post请求
weixin_35756690的博客
12-27 164
要让 DataSnap 接收 HTTPS 的 POST 请求,你需要做以下几件事: 在 DataSnap 服务器端启用 HTTPS。这可以通过使用 Indy 库的 TIdHTTPServer 组件来实现。 在客户端使用 TDSRestConnection 组件连接到服务器。 设置 TDSRestConnection 的 Protocol 的值为 'https'。 在服务器端生成并使用证书来...
Spring MVC 学习(2)—— REST、映射请求参数、处理数据模型
m0_38140207的博客
06-28 272
1. REST 概述 REST:即 Representational State Transfer。(资源)表现层状态转化。是目前流行的一种互联网软件架构。系统希望以非常简洁的URL地址来发请求,怎样表示对一个资源的增删改查用请求方式来区分 资源(Resources):网络上的一个实体可以是一段文本、一张图片、一首歌曲、一种服务,总之就是一个具体的存在。可以用一个URI(统一资源定位符)指向它,每种资源对应一个特定的 URI 。要获取这个资源,访问它的URI就可以,因此 URI 即为每一个资源的独一无二的
超详细 Spring @RequestMapping 注解使用技巧
萧曳丶
02-04 626
@RequestMapping 是 Spring Web 应用程序中最常被用到的注解之一。这个注解会将 HTTP 请求映射到 MVC 和 REST 控制器的处理方法上。  在这篇文章中,你将会看到 @RequestMapping 注解在被用来进行 Spring MVC 控制器方法的映射可以如何发挥其多才多艺的功能的。  Request Mapping 基础用法  在 Spring
JavaWeb优雅实现接口参数校验
赵广陆
08-26 466
目录 1 背景 2 如何优雅地校验参数 2.1 官方指导意见 2.2 注解用法说明 3 @ControllerAdvice同时配置过滤多个包 3.1 springboot 多个@RestControllerAdvice时的拦截顺序 3.2 解决方法
SpringBoot开发详解(五)--Controller接收参数以及参数校验
热门推荐
尼斯湖水鬼的博客
05-01 16万+
Controller 中注解使用接受参数的几种传输方式以及几种注解: 在上一篇中,我们使用了JDBC链接数据库,完成了简单的后端开发。但正如我在上文中抛出的问题,我们能不能更好的优化我们在Controller中接受参数的方式呢?这一篇中我们就来聊一聊怎么更有效的接收Json参数。传输参数的几种Method在定义一个Rest接口时,我们通常会使用GET,POST,PUT,DELETE几种方式来完成我
验证Map中是否存在必填项,必填以数组填写
wenbao0521的博客
12-31 453
验证Map中是否存在必填 项,必填以数组填写 //RestResult是封装的 结果集对象 //parsMap 需要验证数据 //strings 哪些字段需要验证 public static Optional<RestResult> checkMapFunc(Map<String,Object> parsMap,String[] strings){ ...
java map请求参_RestTemplate post请求使用map传参 Controller 接收不到值的解决方案 postForObject方法源码解析.md...
weixin_36363813的博客
03-01 1344
结论post方法中如果使用map传参,需要使用MultiValueMap来传递RestTemplate 的 postForObject 方法有四个参数String url => 顾名思义 这个参数是请求的url路径Object request => 请求的body 这个参数需要再controller类用 @RequestBody 注解接收ClassresponseType => ...
python读取salesforce rest api数据
最新发布
09-10
可以使用 Python 的 requests 库来读取 Salesforce REST API数据。首先,你需要在 Salesforce 中设置一个连接器,并获取连接器的访问令牌。然后,你可以使用 requests 库发送 HTTP 请求来访问 Salesforce REST API。 例如,你可以使用以下代码来检索 Salesforce 中的联系人数据: ``` import requests # Set the request headers headers = { 'Content-Type': 'application/json', 'Authorization': 'Bearer YOUR_ACCESS_TOKEN' } # Set the API endpoint url = 'https://YOUR_INSTANCE.salesforce.com/services/data/v50.0/sobjects/Contact' # Make the GET request response = requests.get(url, headers=headers) # Print the response print(response.json()) ``` 其中,`YOUR_ACCESS_TOKEN` 是你获取的访问令牌,`YOUR_INSTANCE` 是你的 Salesforce 实例的名称。 请注意,你可能还需要处理错误响应、分页等其他情况。有关使用 Python 访问 Salesforce REST API 的更多信息,可以参考 Salesforce 的 REST API 开发指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值