一、前言

在程序中,需要进行数据验证的场景经常存在,且数据验证是有必要的。前端进行数据验证,主要是为了减少服务器请求压力,和提高用户体验;后端进行数据验证,主要是为了保证数据的正确性,保证系统的健壮性。
本文描述的数据验证方案,是基于官方的[模型验证Model validation:https://docs.microsoft.com/zh-cn/aspnet/core/mvc/models/validation,自定义其返回格式的方案。
是笔者近期面试过程中才得知的方式【之前个人混淆了:模型验证(Model validation)和 EF 模型配置的数据注释(Data annotation)方式】。

注:MVC 和 API 的模型验证有些许差异,本文主要描述的是 API 下的模型验证。

1.1、数据验证的场景

比较传统的验证方式如下:

  1. public string TraditionValidation(TestModel model)
  2. {
  3. if (string.IsNullOrEmpty(model.Name))
  4. {
  5. return "名字不能为空!";
  6. }
  7. if (model.Name.Length > 10)
  8. {
  9. return "名字长度不能超过10!";
  10. }
  11. return "验证通过!";
  12. }

在函数中,对模型的各个属性分别做验证。
虽然函数能与模型配合重复使用,但是确实不够优雅。
官方提供了模型验证(Model validation)的方式,下面将会基于这种方式,提出相应的解决方案。

1.2、本文的脉络

先大概介绍一下模型验证(Model validation)的使用,随后提出两种自定义方案。
最后会大概解读一下 AspNetCore 这一块相关的源码。

二、模型验证

2.1、介绍

官方提供的模型验证(Model validation)的方式,是通过在模型属性上添加验证特性(Validation attributes),配置验证规则以及相应的错误信息(ErrorMessage)。
当验证不通过时,将会返回验证不通过的错误信息。
其中,除了内置的验证特性,用户也可以自定义验证特性(本文不展开),具体请自行查看自定义特性:https://docs.microsoft.com/zh-cn/aspnet/core/mvc/models/validation?view=aspnetcore-6.0#custom-attributes一节。
在 MVC 中,需要通过如下代码来调用(在 action 中):

  1. if (!ModelState.IsValid)
  2. {
  3. return View(movie);
  4. }

在 API 中,只要控制器拥有 ApiController:https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.aspnetcore.mvc.apicontrollerattribute 特性,如果模型验证不通过,将自动返回包含错误信息的 HTTP400 相应,详细请参阅自动 HTTP 400 响应:https://docs.microsoft.com/zh-cn/aspnet/core/web-api/?view=aspnetcore-6.0#automatic-http-400-responses

2.2、基本使用

自定义模型
如下代码中,[Required] 表示该属性为必须,ErrorMessage = “” 为该验证特性验证不通过时,返回的验证信息。

  1. public class TestModel
  2. {
  3. [Required(ErrorMessage = "名字不能为空!")]
  4. [StringLength(10, ErrorMessage = "名字长度不能超过10个字符!")]
  5. public string? Name { get; set; }
  6. [Phone(ErrorMessage = "手机格式错误!")]
  7. public string? Phone { get; set; }
  8. }

控制器代码

控制器上有 [ApiController] 特性即可触发:

  1. [ApiController]
  2. [Route("[controller]/[action]")]
  3. public class TestController : ControllerBase
  4. {
  5. [HttpPost]
  6. public TestModel ModelValidation(TestModel model)
  7. {
  8. return model;
  9. }
  10. }

测试

输入不合法的数据,格式如下:

  1. {
  2. "name": "string string",
  3. "email": "111"
  4. }

输出信息如下:

  1. {
  2. "type": "https://tools.ietf.org/html/rfc7231#section-6.5.1",
  3. "title": "One or more validation errors occurred.",
  4. "status": 400,
  5. "traceId": "00-4d4df1b3618a97a6c50d5fe45884543d-81ac2a79523fd282-00",
  6. "errors": {
  7. "Name": [
  8. "名字长度不能超过10个字符!"
  9. ],
  10. "Email": [
  11. "邮箱格式错误!"
  12. ]
  13. }
  14. }

2.3、内置特性

官方列出的一些内置特性如:

  • [ValidateNever]:指示属性或参数应从验证中排除。
  • [CreditCard]:验证属性是否具有信用卡格式。
  • [Compare]:验证模型中的两个属性是否匹配。
  • [EmailAddress]:验证属性是否具有电子邮件格式。
  • [Phone]:验证属性是否具有电话号码格式。
  • [Range]:验证属性值是否在指定的范围内。
  • [RegularExpression]:验证属性值是否与指定的正则表达式匹配。
  • [Required]:验证字段是否不为 null。
  • [StringLength]:验证字符串属性值是否不超过指定长度限制。
  • [URL]:验证属性是否具有 URL 格式。
  • [Remote]:通过在服务器上调用操作方法来验证客户端上的输入。

可以在命名空间中找到System.ComponentModel.DataAnnotations:https://docs.microsoft.com/zh-cn/dotnet/api/system.componentmodel.dataannotations验证属性的完整列表。

三、自定义数据验证返回结果

3.1、介绍

由于官方模型验证返回的格式与我们程序实际需要的格式有差异,所以这一部分主要是替换模型验证的返回结果,使用的实际上还是模型验证的能力。

3.2、前置准备

准备一个统一返回格式:

  1. public class ApiResult
  2. {
  3. public int Code { get; set; }
  4. public string? Msg { get; set; }
  5. public object? Data { get; set; }
  6. }

当数据验证不通过时:
Code 为 400,表示请求数据存在问题。
Msg 默认为:数据验证不通过!用于前端提示。
Data 为错误信息明细,用于前端提示。
如:

  1. {
  2. "code": 400,
  3. "msg": "数据验证不通过!",
  4. "data": [
  5. "名字长度不能超过10个字符!",
  6. "邮箱格式错误!"
  7. ]
  8. }

3.3、方案1:替换工厂

替换 ApiBehaviorOptions 中默认定义的 InvalidModelStateResponseFactory,在 Program.cs 中:

  1. builder.Services.Configure<ApiBehaviorOptions>(options =>
  2. {
  3. options.InvalidModelStateResponseFactory = actionContext =>
  4. {
  5. //获取验证失败的模型字段
  6. var errors = actionContext.ModelState
  7. .Where(s => s.Value != null && s.Value.ValidationState == ModelValidationState.Invalid)
  8. .SelectMany(s => s.Value!.Errors.ToList())
  9. .Select(e => e.ErrorMessage)
  10. .ToList();
  11. // 统一返回格式
  12. var result = new ApiResult()
  13. {
  14. Code = StatusCodes.Status400BadRequest,
  15. Msg = "数据验证不通过!",
  16. Data = errors
  17. };
  18. return new BadRequestObjectResult(result);
  19. };
  20. });

3.4、方案2自定义过滤器

自定义过滤器

  1. public class DataValidationFilter : IActionFilter
  2. {
  3. public void OnActionExecuting(ActionExecutingContext context)
  4. {
  5. // 如果其他过滤器已经设置了结果,则跳过验证
  6. if (context.Result != null) return;
  7. // 如果验证通过,跳过后面的动作
  8. if (context.ModelState.IsValid) return;
  9. // 获取失败的验证信息列表
  10. var errors = context.ModelState
  11. .Where(s => s.Value != null && s.Value.ValidationState == ModelValidationState.Invalid)
  12. .SelectMany(s => s.Value!.Errors.ToList())
  13. .Select(e => e.ErrorMessage)
  14. .ToArray();
  15. // 统一返回格式
  16. var result = new ApiResult()
  17. {
  18. Code = StatusCodes.Status400BadRequest,
  19. Msg = "数据验证不通过!",
  20. Data = errors
  21. };
  22. // 设置结果
  23. context.Result = new BadRequestObjectResult(result);
  24. }
  25. public void OnActionExecuted(ActionExecutedContext context)
  26. {
  27. }
  28. }

禁用默认过滤器

在 Program.cs 中:

  1. builder.Services.Configure<ApiBehaviorOptions>(options =>
  2. {
  3. // 禁用默认模型验证过滤器
  4. options.SuppressModelStateInvalidFilter = true;
  5. });

启用自定义过滤器

在 Program.cs 中:

  1. builder.Services.Configure<MvcOptions>(options =>
  2. {
  3. // 全局添加自定义模型验证过滤器
  4. options.Filters.Add<DataValidationFilter>();
  5. });

3.5、测试

输入不合法的数据,格式如下:

  1. {
  2. "name": "string string",
  3. "email": "111"
  4. }

输出信息如下:

  1. {
  2. "code": 400,
  3. "msg": "数据验证不通过!",
  4. "data": [
  5. "名字长度不能超过10个字符!",
  6. "邮箱格式错误!"
  7. ]
  8. }

3.6、总结

两种方案实际上都是差不多的(实际上都是基于过滤器 Filter 的),可以根据个人需要选择。
其中 AspNetCore 默认实现的过滤器为 ModelStateInvalidFilter ,其 Order = -2000,可以根据程序实际情况,对程序内的过滤器顺序进行编排。

四、源码解读

4.1、基本介绍

AspNetCore 模型验证这一块相关的源码,主要是使用一个默认过滤器(为 ModelStateInvalidFilter,由 ModelStateInvalidFilterFactory生成),在经过默认过滤器,判定是否模型验证不通过,若验证不通过,将会调用一个默认工厂 InvalidModelStateResponseFactory(由 ApiBehaviorOptionsSetup 对 ApiBehaviorOptions 进行配置,实际上是一个 Func),来产生模型验证的返回结果(返回一个 BadRequestObjectResult 或 ObjectResult)。
简单描述一下数据流向:
用户请求 >> ModelStateInvalidFilter >> InvalidModelStateResponseFactory >> BadRequestObjectResult
其中,最主要的控制是 ApiBehaviorOptions 的 SuppressModelStateInvalidFilter 和 InvalidModelStateResponseFactory 属性。这两个属性,前者控制默认过滤器是否启用,后者被默认过滤器调用生成模型验证的结果。
所以,本文第3部门提及的两种自定义返回结果的方案,要么是自定义一个新的过滤器并禁用默认的过滤器,要么是替换生成模型验证结果的工厂。
下面将相关的源码贴出。

4.2、MvcServiceCollectionExtensions

新建的 WebAPI 模板的 Program.cs 中注册控制器的语句如下:

  1. builder.Services.AddControllers();

调用的是源码中 MvcServiceCollectionExtensions.cs 的方法,摘出来如下:

  1. // MvcServiceCollectionExtensions.cs
  2. public static IMvcBuilder AddControllers(this IServiceCollection services)
  3. {
  4. if (services == null)
  5. {
  6. throw new ArgumentNullException(nameof(services));
  7. }
  8. var builder = AddControllersCore(services);
  9. return new MvcBuilder(builder.Services, builder.PartManager);
  10. }

会调用另一个方法 AddControllersCore:

  1. // MvcServiceCollectionExtensions.cs
  2. private static IMvcCoreBuilder AddControllersCore(IServiceCollection services)
  3. {
  4. // This method excludes all of the view-related services by default.
  5. var builder = services
  6. .AddMvcCore()
  7. .AddApiExplorer()
  8. .AddAuthorization()
  9. .AddCors()
  10. .AddDataAnnotations()
  11. .AddFormatterMappings();
  12. if (MetadataUpdater.IsSupported)
  13. {
  14. services.TryAddEnumerable(
  15. ServiceDescriptor.Singleton<IActionDescriptorChangeProvider, HotReloadService>());
  16. }
  17. return builder;
  18. }

其中相关的是 AddMvcCore():

  1. // MvcServiceCollectionExtensions.cs
  2. public static IMvcCoreBuilder AddMvcCore(this IServiceCollection services)
  3. {
  4. if (services == null)
  5. {
  6. throw new ArgumentNullException(nameof(services));
  7. }
  8. var environment = GetServiceFromCollection<IWebHostEnvironment>(services);
  9. var partManager = GetApplicationPartManager(services, environment);
  10. services.TryAddSingleton(partManager);
  11. ConfigureDefaultFeatureProviders(partManager);
  12. ConfigureDefaultServices(services);
  13. AddMvcCoreServices(services);
  14. var builder = new MvcCoreBuilder(services, partManager);
  15. return builder;
  16. }

其中 AddMvcCoreServices(services) 方法会执行如下方法,由于这个方法太长,这里将与模型验证相关的一句代码摘出来:

  1. // MvcServiceCollectionExtensions.cs
  2. internal static void AddMvcCoreServices(IServiceCollection services)
  3. {
  4. services.TryAddEnumerable(
  5. ServiceDescriptor.Transient<IConfigureOptions<ApiBehaviorOptions>, ApiBehaviorOptionsSetup>());
  6. }

主要是配置默认的 ApiBehaviorOptions。

4.3、ApiBehaviorOptionsSetup

主要代码如下:

  1. internal class ApiBehaviorOptionsSetup : IConfigureOptions<ApiBehaviorOptions>
  2. {
  3. private ProblemDetailsFactory? _problemDetailsFactory;
  4. public void Configure(ApiBehaviorOptions options)
  5. {
  6. options.InvalidModelStateResponseFactory = context =>
  7. {
  8. _problemDetailsFactory ??= context.HttpContext.RequestServices.GetRequiredService<ProblemDetailsFactory>();
  9. return ProblemDetailsInvalidModelStateResponse(_problemDetailsFactory, context);
  10. };
  11. ConfigureClientErrorMapping(options);
  12. }
  13. }

为属性 InvalidModelStateResponseFactory 配置一个默认工厂,这个工厂在执行时,会做这些动作:
获取 ProblemDetailsFactory (Singleton)服务实例,调用 ProblemDetailsInvalidModelStateResponse 获取一个 IActionResult 作为响应结果。
ProblemDetailsInvalidModelStateResponse 方法如下:

  1. // ApiBehaviorOptionsSetup.cs
  2. internal static IActionResult ProblemDetailsInvalidModelStateResponse(ProblemDetailsFactory problemDetailsFactory, ActionContext context)
  3. {
  4. var problemDetails = problemDetailsFactory.CreateValidationProblemDetails(context.HttpContext, context.ModelState);
  5. ObjectResult result;
  6. if (problemDetails.Status == 400)
  7. {
  8. // For compatibility with 2.x, continue producing BadRequestObjectResult instances if the status code is 400.
  9. result = new BadRequestObjectResult(problemDetails);
  10. }
  11. else
  12. {
  13. result = new ObjectResult(problemDetails)
  14. {
  15. StatusCode = problemDetails.Status,
  16. };
  17. }
  18. result.ContentTypes.Add("application/problem+json");
  19. result.ContentTypes.Add("application/problem+xml");
  20. return result;
  21. }

该方法最终会返回一个 BadRequestObjectResult 或 ObjectResult。

4.4、ModelStateInvalidFilter

上面介绍完了 InvalidModelStateResponseFactory 的注册,那么是何时调用这个工厂呢?
模型验证默认的过滤器主要代码如下:

  1. public class ModelStateInvalidFilter : IActionFilter, IOrderedFilter
  2. {
  3. internal const int FilterOrder = -2000;
  4. private readonly ApiBehaviorOptions _apiBehaviorOptions;
  5. private readonly ILogger _logger;
  6. public int Order => FilterOrder;
  7. public void OnActionExecuting(ActionExecutingContext context)
  8. {
  9. if (context.Result == null && !context.ModelState.IsValid)
  10. {
  11. _logger.ModelStateInvalidFilterExecuting();
  12. context.Result = _apiBehaviorOptions.InvalidModelStateResponseFactory(context);
  13. }
  14. }
  15. }

可以看到,在 OnActionExecuting 中,当没有其他过滤器设置结果(context.Result == null),且模型验证不通过(!context.ModelState.IsValid)时,会调用 InvalidModelStateResponseFactory 工厂的验证,获取返回结果。
模型验证最主要的源码就如上所述。

4.5、其他补充

  1. 过滤器的执行顺序

默认过滤器的 Order 为 -2000,其触发时机一般是较早的(模型验证也是要尽可能早)。
过滤器管道的执行顺序:Order 值越小,越先执行 Executing 方法,越后执行 Executed 方法(即先进后出)。

  1. 默认过滤器的创建和注册

这一部分个人没有细看,套路大概是这样的:通过过滤器提供者(DefaultFilterProvider),获取实现 IFilterFactory 接口的实例,调用 CreateInstance 方法生成过滤器,并将过滤器添加到过滤器容器中(IFilterContainer)。
其中模型验证的默认过滤的工厂类为:ModelStateInvalidFilterFactory

五、示例代码

本文示例的完整代码,可以从这里获取:

Gitee:https://gitee.com/lisheng741/testnetcore/tree/master/Filter/DataAnnotationTest Github:https://github.com/lisheng741/testnetcore/tree/master/Filter/DataAnnotationTest