Exclude-Eigenschaft von WebApi OData (EF) Reaktion in c#

Arbeite ich mit einem WebApi-Projekt in C# (EF code first) und ich bin mit OData.
Ich habe eine "User" - Modell mit Id, Name, Nachname, E-Mail und Passwort.

Im controller zum Beispiel habe ich diesen code:

//GET: odata/Users
[EnableQuery]
public IQueryable<User> GetUsers()
{
    return db.Users;
}

Wenn ich rufe /odata/user ich werde all die Daten: Id, Name, Nachname, E-Mail und Passwort.

Wie kann ich ausschließen das Passwort von Ergebnisse, aber halten im controller zu machen Linq-Abfragen?

InformationsquelleAutor Martín | 2015-01-05
  1. 14

    Ich bin ein wenig spät zu dem Thema, aber ich denke, das könnte dir helfen.

    Ich gehe davon aus, dass Sie wollen, um das Kennwort zu verschlüsseln, die für storage-Zwecke. Haben Sie sah über einen odata-Aktion das Kennwort festlegen? Mit einer Aktion können Sie ignorieren die password-Eigenschaft, die Sie beim einrichten Ihrer Einheiten, während immer noch das aussetzen einer sauberen Weg, um die end-Benutzer, um das Kennwort zu aktualisieren.

    Erstens: ignorieren Sie die password-Eigenschaft

    builder.EntitySet<UserInfo>("UserInfo").EntityType.Ignore(ui => ui.Password);

    zweite: fügen Sie Ihre odata-Aktion

    builder.EntityType<UserInfo>().Action("SetPassword").Returns<IHttpActionResult>();

    Dann fügen Sie die SetPassword-Methode, um Ihre UserInfoController.

    • Das ist keine gute Lösung. Als ich sagte, dass ich das Password in der EDM!!! Ich will einfach nur, um es zu entfernen aus der Antwort!
    • Ich denke, ich bin verwirrt, was du meinst mit "in der EDM". Diese Lösung ermöglicht Ihnen den Zugriff auf die password-Eigenschaft in der api und entfernt Sie aus der Nutzlast.
    • Ich brauche nur Zugriff auf die Passwort innerhalb einer Methode im controller, aber ich will nicht zu zeigen, dass es in der Antwort (wenn ich wieder das User-Objekt). Wenn ich sage, dass ich brauche dies in den EDM-ich sage nur, dass ich zur Arbeit muss mit dem Passwort in der Steuerung (Arbeit mit linq-Abfragen, etc).
    • Das ist die richtige Lösung, imo. So wie ich das verstehe ist Ihr Ziel, mit der Sie arbeiten möchten User im controller und nicht extra UserInfo - mapping-Klasse. Mit dieser Lösung können Sie. Drop UserInfo und setzen User direkt. Dann gilt @RickWillis Lösung auf die User Person, dadurch wird das Passwort nicht ausgesetzt werden, die in den OData-Nutzlast.
    InformationsquelleAutor Rick Willis
  2. 7

    Ist es vielleicht ein wenig spät, aber eine elegante Lösung wäre das hinzufügen eines benutzerdefinierten QueryableSelectAttribute und dann einfach die Liste der Felder, die Sie auswählen möchten, die auf der Aufschlag-Seite. In deinem Fall wird es so Aussehen:

    public class QueryableSelectAttribute : ActionFilterAttribute
{
    private const string ODataSelectOption = "$select=";
    private string selectValue;

    public QueryableSelectAttribute(string select)
    {
        this.selectValue = select;
    }

    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        base.OnActionExecuting(actionContext);

        var request = actionContext.Request;
        var query = request.RequestUri.Query.Substring(1);
        var parts = query.Split('&').ToList();

        for (int i = 0; i < parts.Count; i++)
        {
            string segment = parts[i];
            if (segment.StartsWith(ODataSelectOption, StringComparison.Ordinal))
            {
                parts.Remove(segment);
                break;
            }
        }

        parts.Add(ODataSelectOption + this.selectValue);

        var modifiedRequestUri = new UriBuilder(request.RequestUri);
        modifiedRequestUri.Query = string.Join("&", parts.Where(p => p.Length > 0));
        request.RequestUri = modifiedRequestUri.Uri;

        base.OnActionExecuting(actionContext);
    }
}

    Und in der Steuerung fügen Sie einfach das Attribut mit den gewünschten Eigenschaften:

    [EnableQuery]
[QueryableSelect("Name,LastName,Email")]
public IQueryable<User> GetUsers()
{
    return db.Users;
}

    ... Und das ist es!

    Natürlich das gleiche Prinzip kann auch angewendet werden für eine benutzerdefinierte QueryableExpandAttribute.

    • Dies ist auch eine sehr interessante Idee für eine Art "Berechtigung " Attribut", wo nur bestimmte Eigenschaften/erweitert zurückgegeben werden können, je nach Berechtigungen.
    • dies ist die einzige Sache, die für mich gearbeitet. Aber, leider, es entfernt das "$select" - Klausel der Anfrage-URI selbst. Also wenn ich das so filtern möchten, dass die Felder nur Name und Nachname, es werden wieder ALLE Felder - Name,Nachname,E-Mail - sowieso 🙁
    • Ein weiterer Nachteil ist, dass jedes mal, wenn ich eine neue Eigenschaft hinzuzufügen, um meinen DTO, ich habe zu ändern [QueryableSelect ("")] - Attribut auf jede Methode, die in meinem TableController.
    InformationsquelleAutor Corneliu Serediuc
  3. 6

    Hinzufügen [NotMapped] - Attribut auf die Password-Eigenschaft in der User-Klasse wie folgt:

    public class User
{
    public int Id { get; set; }

    public string Name { get; set; }

    public string Email { get; set; }

    public string LastName {get; set; }

    [NotMapped]
    public string Password {get; set;}
}
    • Maya, das ist nicht für mich arbeiten, weil, wie ich sagte in meinem post, die ich brauche zu halten, das Eigentum verfügbar in den controller zu linq-Abfragen. Wenn ich versuche mit NotMapped die Eigenschaft nicht vorhanden in das entity-Modell. Ich brauche das Eigentum, sondern ich will einfach nur, um es zu verbergen aus API-Antworten.
    • Maya ' s Lösung ist für die Nichtbeachtung der Immobilie von OData-Abfrage, aber immer noch serialisieren es. Danke!
    InformationsquelleAutor Maya
  4. 6

    Wie kann ich ausschließen das Passwort von Ergebnisse, aber halten im controller zu machen Linq-Abfragen?

    Ignorieren. Von Sicherheitsempfehlungen für ASP.NET Web-API OData-2:

    Gibt es zwei Möglichkeiten, um ausschließlich eine Eigenschaft von EDM. Sie können die
    [IgnoreDataMember] - Attribut auf dem Grundstück in der model-Klasse:

    public class Employee
{
    public string Name { get; set; }
    public string Title { get; set; }
    [IgnoreDataMember]
    public decimal Salary { get; set; } //Not visible in the EDM
}

    Können Sie auch entfernen Sie die Eigenschaft aus der EDM programmatisch:

    var employees = modelBuilder.EntitySet<Employee>("Employees");
employees.EntityType.Ignore(emp => emp.Salary);
    • Vielen Dank, aber ich habe gesehen, dass die Dokumentation vor zwei Tagen. Wenn ich versuche mit [IgnoreDataMember] ich werde keinen Zugriff auf das Passwort in die EDM-also das ist nicht für mich arbeiten. Ich kann nicht entfernen Sie die Eigenschaft programmgesteuert vom controller, denn das EDM ist definiert in WebApiConfig.cs. Als ich sagte, dass ich diese sichtbar in der EDM, aber nicht in der Antwort.
    • Was bedeutet das? Entity Framework sollte immer noch erlauben, Sie abzufragen.
    • Wenn Sie ausschließen, die Eigenschaft von EDM-diese ist nicht zu erscheinen, in der Reaktion zu ERHALTEN (das ist OK), aber wenn Sie versuchen zum Beispiel, um einen POST zu erstellen Sie einen neuen Benutzer in der API wird das Passwort nicht erhalten, weil diese Eigenschaft ist nicht Teil des EDM. Das ist, warum ich mich verstecken muss das Passwort nur für die Antworten, aber nicht alle die EDM - (ich denke, die einzige Lösung ist, um eine neue Klasse anzulegen, nur mit den Parametern, die ich brauche, nur für Antworten).
    InformationsquelleAutor ta.speot.is
  5. 2

    Was Sie tun müssen, ist eine odata controller gibt eine projizierte Teilmenge der ursprünglichen Einheit.

    //in WebApi Config Method
config.MapHttpAttributeRoutes();

ODataConventionModelBuilder builder = new ODataConventionModelBuilder();
builder.EntitySet<FullEntity>("FullData");
builder.EntitySet<SubsetEntity>("SubsetData");
config.Routes.MapODataServiceRoute("odata", "odata", builder.GetEdmModel());


config.Routes.MapHttpRoute(
  name: "DefaultApi",
  routeTemplate: "api/{controller}/{action}/{id}",
  defaults: new { id = RouteParameter.Optional, action = "GET" }
);
SetupJsonFormatters();
config.Filters.Add(new UncaughtErrorHandlingFilterAttribute());

    ... dann haben zwei Odata-Controllern einen für FulLData, eine für SubsetData (mit unterschiedlichen Sicherheitseinstellungen),

    namespace myapp.Web.OData.Controllers
{
    public class SubsetDataController : ODataController
    {
        private readonly IWarehouseRepository<FullEntity> _fullRepository;
        private readonly IUserRepository _userRepository;

        public SubsetDataController(
            IWarehouseRepository<fullEntity> fullRepository,
            IUserRepository userRepository
            )
        {
            _fullRepository = fullRepository;
            _userRepository = userRepository;
        }

public IQueryable<SubsetEntity> Get()
        {
            Object webHostHttpRequestContext = Request.Properties["MS_RequestContext"];
            System.Security.Claims.ClaimsPrincipal principal =
                (System.Security.Claims.ClaimsPrincipal)
                    webHostHttpRequestContext.GetType()
                        .GetProperty("Principal")
                        .GetValue(webHostHttpRequestContext, null);
            if (!principal.Identity.IsAuthenticated)
                throw new Exception("user is not authenticated cannot perform OData query");

            //do security in here

            //irrelevant but this just allows use of data by Word and Excel.
            if (Request.Headers.Accept.Count == 0)
                Request.Headers.Add("Accept", "application/atom+xml");

            return _fullRepository.Query().Select( b=>
                    new SubsetDataListEntity
                    {
                        Id = b.Id,
                        bitofData = b.bitofData
                    }
          } //end of query
   } //end of class
    • Wo kommt die Query () - Methode kommen?
    • Dieser code wird davon ausgegangen Sie zurück public IQueryable<Name> Query() aus der Datenbank Kontext. In anderen Worten, die in Query() eine Abfrage auf, die Sie dbcontext context.Set<Name>().AsQueryable();
    InformationsquelleAutor
  6. 1

    Sie bereits versucht, dies?

    Aktualisieren Sie einfach die Eigenschaft.

    [EnableQuery]
public async Task<IQueryable<User>> GetUsers()
{
    var users = db.User;

    await users.ForEachAsync(q => q.Password = null);

    return users;
}
    • Was ist "db".User"? Wo finde ich den "db" - variable? Wenn ich auf "Abfrage()" statt, das wird eine Ausnahme ausgelöst: System.InvalidOperationException: 'Die Quelle IQueryable nicht umsetzen IDbAsyncEnumerable<MyType>. Nur Quellen, die Umsetzung IDbAsyncEnumerable kann verwendet werden, für die Entity Framework asynchrone Operationen. Weitere details finden Sie unter go.microsoft.com/fwlink/?LinkId=287068.'
    InformationsquelleAutor Igor Quirino
  7. 1

    Können wir nutzen, die ConventionModelBuilder und verwenden DataContract/DataMember explizit aktivieren-Eigenschaften werden in der EdmModel.

    DataContract & DataMember

    Regel: bei Verwendung des DataContract-oder DataMember, einzige Eigenschaft, die Sie mit [DataMember] Attribut wird Hinzugefügt Edm-Modell.

    Beachten Sie, dass dies keinen Einfluss auf die Entity Framework-Modell, da wir nicht mit der [NotMapped] - Attribut (es sei denn, Sie wollen es nicht in entweder-Modell)

    [DataContract]
public class User
{
    [DataMember]
    public int Id { get; set; }

    [DataMember]
    public string Name { get; set; }

    [DataMember]
    public string Email { get; set; }

    [DataMember]
    public string LastName {get; set; }

    //NB Password won't be in EdmModel but still available to EF
    public string Password {get; set;}
}

    Dies hat den Vorteil, dass alle mapping-Logik an einer Stelle in Ihrem Projekt

    InformationsquelleAutor Paul Hatcher
  8. 0

    Machte ich ein Handwerk und vorübergehende Lösung für dieses problem (ist nicht die beste Lösung, da UserInfo ist nicht eine Entität geben, und nicht $select und $expand).
    Ich erstellte ein neues Modell namens UserInfo nur mit den Eigenschaften die ich brauche (abgesehen von der Benutzer):

    public class UserInfo
{
    public int Id { get; set; }
    public string Name { get; set; }
    public string Email { get; set; }
}

    Dann änderte ich die Methode im controller:

    //GET: odata/Users
[EnableQuery]
public IQueryable<UserInfo> GetUsers()
{
    List<UserInfo> lstUserInfo = new List<UserInfo>();

    foreach(User usr in db.Users)
    {
        UserInfo userInfo = new UserInfo();
        userInfo.Id = usr.Id;
        userInfo.Name = usr.Name;
        userInfo.Email = usr.Email;

        lstUserInfo.Add(userInfo);
    }

    return lstUserInfo.AsQueryable();
}
    • Nicht das brechen der IQueryable-design? Was, wenn Sie wollen 5 Datensätze von 10.000.000?
    InformationsquelleAutor Martín
  9. 0

    Können Sie erstellen, die neue Ansicht in der DB nur die Daten, die Sie benötigen. Legen Sie dann EntitySetRights.Keine für Benutzer-Tabelle und erstellen die benötigten Beziehungen für die erstellte Ansicht.
    Jetzt können Sie tun, gemeinsame odata-requests (GET odata/UsersFromView) und bekommen die Benutzer Daten ohne Passwort. Post-Anforderung, die Sie tun können, mithilfe von Benutzer-Tabelle.

    InformationsquelleAutor DominGez
  10. 0

    Nichts anderes für mich gearbeitet, so ist hier eine elegante Lösung.

    Verwenden Sie die HideSensitiveProperties() Erweiterung Methode in Ihrer TableController wie diese.

        //GET tables/User
    public IQueryable<User> GetAllUsers()
    {
        return Query().HideSensitiveProperties();
    }

    //GET tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public SingleResult<User> GetUser(string id)
    {
        return Lookup(id).HideSensitiveProperties();
    }

    //PATCH tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public Task<User> PatchUser(string id, Delta<User> patch)
    {
        return UpdateAsync(id, patch).HideSensitivePropertiesForItem();
    }

    //POST tables/User
    public async Task<IHttpActionResult> PostUser(User item)
    {
        User current = await InsertAsync(item);
        current.HideSensitivePropertiesForItem();
        return CreatedAtRoute("Tables", new { id = current.Id }, current);
    }

    //DELETE tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public Task DeleteUser(string id)
    {
        return DeleteAsync(id);
    }

    Aber dies wird nicht entfernen Sie die Eigenschaft name von der Reaktion, aber es wird seinen Wert zu null.

    public static class HideSensitivePropertiesExtensions
{
    public static async Task<TData> HideSensitivePropertiesForItem<TData>(this Task<TData> task)
        where TData : ModelBase
    {
        return (await task).HideSensitivePropertiesForItem();
    }

    public static TData HideSensitivePropertiesForItem<TData>(this TData item)
        where TData : ModelBase
    {
        item.Password = null;
        return item;
    }

    public static SingleResult<TData> HideSensitiveProperties<TData>(this SingleResult<TData> singleResult)
        where TData : ModelBase
    {
        return new SingleResult<TData>(singleResult.Queryable.HideSensitiveProperties());
    }

    public static IQueryable<TData> HideSensitiveProperties<TData>(this IQueryable<TData> query)
        where TData : ModelBase
    {
        return query.ToList().HideSensitiveProperties().AsQueryable();
    }

    public static IEnumerable<TData> HideSensitiveProperties<TData>(this IEnumerable<TData> query)
        where TData : ModelBase
    {
        foreach (var item in query)
            yield return item.HideSensitivePropertiesForItem();
    }
}

    Hier ModelBase ist die Basisklasse für alle DTOs.

    InformationsquelleAutor Artemious
  11. 0

    Sollten Sie keine Abfrage von Domain-Modell direkt in den controller. Erstellen Sie stattdessen eine QueryModel DTO ordnet dem Domain-Modell.

    Lesen Sie mehr über diese Konzepte in DDD und CQRS

    • Das klingt wie eine gute Idee, aber ich kann nicht finden, ein gutes Beispiel, wie zu kombinieren, OData, EntityFrameworkCore und ein Domain model. haben Sie eine?
    InformationsquelleAutor LastTribunal
  12. -2

    verwenden Automapper

    [EnableQuery]
public IQueryable<User> GetUsers()
{
    //Leave password empty
    Mapper.CreateMap<User, User>().ForMember(x => x.Password, opt => opt.Ignore());

    return db.Users.ToList().Select(u=>Mapper.Map<User>(u)).AsQueryable();      
}
    • Ich bekomme "message": "LINQ to Entities nicht erkennt die Methode 'ExampleAPI.Modelle.User Anzeigen[User](System.Objekt)' - Methode, und diese Methode kann nicht übersetzt werden, in einen laden zu Ausdruck.",
    • Fehlt ein ToList in der Mitte, überprüfen Sie es jetzt
    • Ich änderte den code, und der Fehler wurde behoben, aber noch immer das Passwort in den Odata-Reaktion.
    • Versuchen Sie es mit Ignorieren statt UseDestination Wert (ich aktualisierte meine Antwort)
    • Vielen Dank, aber das Passwort ist immer noch in der Antwort angezeigt.
    • Sorry, es war ForMember, nicht SourceMember, hoffe, Sie müssen noch dies
    • Lassen Sie uns weiter, diese Diskussion im chat.

    InformationsquelleAutor dariogriffo
Schreibe einen Kommentar