验证ASP.NET / MVC中复杂案例的最佳实践?

时间:2013-11-08 16:39:30

标签: c# asp.net asp.net-mvc validation

我们总是被告知Controller应该是瘦的,并且应该在Model而不是Controller进行验证。但请考虑以下示例。

这是一个简单的ModelController,用于处理编辑屏幕中的POST,我们可以在其上编辑Person对象。 

public class PersonEditModel
{         
     [Required(ErrorMessage = "No ID Passed")]
     public int ID { get; set; }

     [Required(ErrorMessage = "First name Required")]
     [StringLength(50,ErrorMessage = "Must be under 50 characters")]
     public string FirstName { get; set; }

     [Required(ErrorMessage = "Last name Required")]
     [StringLength(50,ErrorMessage = "Must be under 50 characters")]
     public string LastName { get; set; }
}

public class PersonController : Controller
{
    // [HttpGet]View, [HttpGet]Edit Controller methods omitted for brevity

    [HttpPost]
    public ActionResult Edit(PersonEditModel model)
    {
        // save changes to the record 
        return RedirectToAction("View", "Person", new { ID = model.ID});
    }
}

Model在这里执行两种验证。它验证FirstNameLastName,但验证用于访问我们希望更改的记录的私钥(ID)。是否应该在Model中进行此验证?

如果我们想要扩展验证(我们应该)以包括检查以查看此记录是否存在,该怎么办?

通常,我会在控制器中验证这一点:

[HttpPost]
public ActionResult Edit(PersonEditModel model)
{
    using(DatabaseContext db = new DatabaseContext())
    {
         var _person = db.Persons.Where(x => x.ID == model.ID);
         if(_person == null)
         {
             ModelState.AddError("This person does not exist!");
             // not sure how we got here, malicious post maybe. Who knows. 
             // so since the ID is invalid, we return the user to the Person List
             return RedirectToAction("List", Person");
         }
         // save changes
    }
    // if we got here, everything likely worked out fine
    return RedirectToAction("View", "Person", new { ID = model.ID});
}

这个不好的做法?我应该检查模型中是否存在某种复杂的自定义验证方法中的记录?我应该把它放在其他地方吗?

更新

相关说明。 ViewModel是否应该包含填充数据的方法?

其中哪一项是更好的做法 - 这个

public class PersonViewModel
{    
    public Person person { get; set; }

    public PersonViewModel(int ID){
        using(DatabaseContext db = new DatabaseContext())
        {
             this.person = db.Persons.Where(x => x.ID == ID);
        }
    }
}

[HttpPost]
public ActionResult View(int ID)
{
    return View("View", new PersonViewModel(ID));
}

还是这个?

public class PersonViewModel
{    
    public Person person { get; set; }
}

[HttpPost]
public ActionResult View(int ID)
{
    PersonViewModel model = new PersonViewModel();  
    using(DatabaseContext db = new DatabaseContext())
    {
         model.person = db.Persons.Where(x => x.ID == ID);
    }
    return View("View", model);
}

3 个答案:

答案 0 :(得分:2)

出于所有目的,我通常更喜欢FluentValidation。它还有一个Nuget可以在VS中安装它。

来自here的示例验证码:

using FluentValidation;

public class CustomerValidator: AbstractValidator<Customer> {
  public CustomerValidator() {
    RuleFor(customer => customer.Surname).NotEmpty();
    RuleFor(customer => customer.Forename).NotEmpty().WithMessage("Please specify a first name");
    RuleFor(customer => customer.Discount).NotEqual(0).When(customer => customer.HasDiscount);
    RuleFor(customer => customer.Address).Length(20, 250);
    RuleFor(customer => customer.Postcode).Must(BeAValidPostcode).WithMessage("Please specify a valid postcode");
  }

  private bool BeAValidPostcode(string postcode) {
    // custom postcode validating logic goes here
  }
}

Customer customer = new Customer();
CustomerValidator validator = new CustomerValidator();
ValidationResult results = validator.Validate(customer);

bool validationSucceeded = results.IsValid;
IList<ValidationFailure> failures = results.Errors;

请参阅??使用清洁方法通过Fluent验证来验证任何类型的模型都非常容易。您可以考虑通过FluentValidation Documentation

验证位置?

假设您有一个模型如下:

public class Category
{
    public int ID { get; set; }
    public string Name { get; set; }
    virtual public ICollection<Image> Images { get; set; }
}

然后,您将在类似的类库中定义另一个验证器模型,或者最好是一个新的类库,用于处理项目中所有模型的验证。

public class CategoryValidator : AbstractValidator<Category>
{
    public CategoryValidator()
    {
        RuleFor(x => x.Name).NotEmpty().WithMessage("Category name is required.");
    }
}

因此,您可以在单独的验证器模型中执行此操作,使您的方法和域模型尽可能保持干净。

答案 1 :(得分:1)

当我们谈论Model时,它会包含您的DAL和您的业务层。对于小型应用程序或演示,在控制器中看到这种代码并不罕见,但通常您应该将该角色提供给业务或数据层:

[HttpPost]
public ActionResult Edit(PersonEditModel model)
{
    // Validation round one, using attributes defined on your properties
    // The model binder checks for you if required fields are submitted, with correct length
    if(ModelState.IsValid)
    {
        // Validation round two, we push our model to the business layer
        var errorMessage = this.personService.Update(model);

        // some error has returned from the business layer
        if(!string.IsNullOrEmpty(errorMessage))
        {
            // Error is added to be displayed to the user
            ModelState.AddModelError(errorMessage);
        }
        else
        {
            // Update successfull
            return RedirectToAction("View", "Person", new { ID = model.ID});
        }
    }

    // Back to our form with current model values, as they're still in the ModelState
    return View();
}

这里的目标是使控制器免于业务逻辑验证和数据上下文的使用。它会推送提交的数据,并在发生错误时通知。我使用了一个字符串变量,但您可以根据需要实现错误管理。制定业务规则根本不会影响您的控制器。

答案 2 :(得分:1)

这绝对没有错。当涉及向用户显示哪个视图时,您的控制器负责指导控制流。这样做的一部分是确保视图获得处于可用状态的模型。

控制器不关心模型是什么,或模型包含什么,但它确实关心它是否有效。这就是ModelState.IsValid如此重要的原因,因为控制器不必知道如何执行验证或直接使模型有效。通常,需要在ModelState.IsValid之后进行的任何验证都可以推送到应用程序的另一层,这又会强制执行关注点分离。

相关问题
最新问题