Zum Fußzeileninhalt springen
.NET lernen
Iron Academy Logo
Über Iron Academy
Iron Academy Logo
C# Application
Überblick

Andere Kategorien

Auf dieser Seite
C#-Anwendung
C#-Anwendung

Andere Kategorien

Minimal API-Datenvalidierung in .NET10: Ein tiefer Einblick mit Tim Corey

Tim Corey
10m 28s

Datenvalidierung ist ein kritischer Aspekt der API-Entwicklung. Ohne ordnungsgemäße Validierung riskieren Softwareanwendungen, fehlerhafte Daten, bösartige Daten oder ungültige Anfragen zu akzeptieren, was zu Datenkorruption, Sicherheitsanfälligkeiten wie SQL-Injection, Cross-Site-Scripting und sogar zu Buffer-Overflows führen kann. Sicherzustellen, dass eine eingehende Anfrage gut geformt ist, das erwartete Format enthält und die in Ihrem Backend definierten Datentypen respektiert, ist der Schlüssel zur Datenintegrität, zum robusten Fehlermanagement und zum Vertrauen der Entwickler.

In seinem Video "Minimal API Data Validation Changes in .NET 10" geht Tim Corey die Verbesserungen der API-Validierung in Minimal APIs durch und zeigt, wie Entwickler umfassende Validierungen sowohl für Klassen als auch für Datensätze durchsetzen können. Tim erklärt nicht nur, wie man ungültige Daten verhindert, sondern auch, wie man Code-Duplikationen reduziert, die Validierungslogik rationalisiert und korrekte HTTP-Statuscodes zurückgibt, wenn die Validierung fehlschlägt. Folgen wir Tims Anleitung, um ein tieferes Verständnis der Datenvalidierung in Minimal APIs zu erlangen.

Einführung in die Minimal API-Validierung

Tim Corey hebt hervor, dass Minimal APIs in .NET 10 mehrere Upgrades erhalten haben, wobei die Anforderungsvalidierung eine der wichtigsten Verbesserungen ist. Dies ermöglicht es, dass eingehende Anfragen, ob über die Abfragezeichenfolge, Header oder den Anforderungstextkörper, automatisch validiert werden. Tim betont, dass eine ordnungsgemäße Validierung nicht nur die Entwicklererfahrung verbessert, sondern auch verhindert, dass fehlerhafte Anfragen die Geschäftslogik erreichen, was für die Aufrechterhaltung der Datenintegrität und den Schutz sensibler Informationen von entscheidender Bedeutung ist.

Tim merkt auch an, dass sein Video Teil einer schnellen 10-minütigen Trainingsserie ist, die darauf abzielt, umsetzbare Anleitung zu bieten, ohne zu tief in abstrakte Theorien einzutauchen. Er fordert die Zuschauer auf, seinen Quellcode herunterzuladen, um mitzuhalten.

Einrichten einer Minimal API für die Validierung

Um Validierungsregeln zu demonstrieren, richtet Tim eine Minimal API aus einem neuen Projekt ein, vereinfacht sie, um sich auf die API-Validierung zu konzentrieren. Seine Beispiel-API beinhaltet:

  • Einen Hello World-Endpunkt zum Testen der Konnektivität.

  • Ein POST-Anforderung /person Endpunkt, der ein Person-Objekt akzeptiert.

  • Ein POST-Anforderung /login Endpunkt für ein Login-Datensatz.

Tim führt die API aus und zeigt, dass zunächst fehlerhafte Daten akzeptiert werden. Zum Beispiel führt das Senden eines leeren Person-Objekts oder einer ungültigen E-Mail im Login-Datensatz immer noch zu einer erfolgreichen API-Antwort. Dies zeigt die Notwendigkeit der Schema-Validierung und Anforderungs-Validierung, um ungültige Daten daran zu hindern, im Backend verarbeitet zu werden.

Validierungsdienste zu Minimal APIs hinzufügen

Tim erklärt, dass der erste Schritt bei der Implementierung einer ordnungsgemäßen Validierung darin besteht, Validierungsdienste in der API zu registrieren:

builder.Services.AddValidation();

Durch Hinzufügen dieses Dienstes führen die Routen-Handler automatisch Typprüfung, Formatvalidierung und Inhaltsvalidierung bei eingehenden Anfragen durch. Tim weist darauf hin, dass dieser Schritt unerlässlich ist, um sicherzustellen, dass Validierungsfehler Fehlermeldungen erzeugen, anstatt bösartige Daten das System umgehen zu lassen.

Validierung von Klassen: Beispiel mit Person-Modell

Tim fügt Validierungsattribute zur Person-Klasse mit System.ComponentModel.DataAnnotations hinzu. Er markiert Eigenschaften als erforderlich und erzwingt Formatvalidierung mit Mindestlängenbeschränkungen:

[Required]
[MinLength(2)]
public string FirstName { get; set; }

[Required]
[MinLength(2)]
public string LastName { get; set; }

Das Ausführen der API löst nun Validierungsfehler aus, wenn im Anforderungstext Körper erforderliche Felder fehlen oder fehlerhafte Daten enthalten. Wenn zum Beispiel ein Nachname mit nur einem Zeichen gesendet wird, wird eine 400 Bad Request mit einer detaillierten Fehlermeldung produziert:

"Das Feld LastName muss ein Zeichenfolgen- oder Array-Typ mit einer Mindestlänge von 2 sein."

Tim hebt hervor, dass die Verwendung von Validierungsbibliotheken wie dieser die Code-Duplikation reduziert und es den Entwicklern ermöglicht, sich auf die Geschäftslogik zu konzentrieren, anstatt in jedem Routen-Handler wiederholte Validierungslogik zu schreiben.

Validierung von Datensätzen: Beispiel mit Login-Datensatz

Die Validierung von Datensätzen unterscheidet sich leicht, da ihre Eigenschaften im Konstruktor definiert sind. Tim demonstriert, wie man Validierungsregeln auf Datensätze mit der [property:]-Syntax erzwingt:

public record Login(
    [property: Required, EmailAddress] string Email,
    [property: Required, MinLength(10)] string Password,
    [Eigenschaft: Vergleichen(nameof(Password))] string ConfirmPassword
);

Wichtige Punkte, die Tim erklärt:

  • E-Mail-Validierung stellt sicher, dass das E-Mail-Feld das richtige Format hat.

  • Minimale Länge des Passworts schützt vor fehlerhaften Anfragen oder schwachen Passwörtern.

  • [Vergleichen(nameof(Password))] stellt sicher, dass ConfirmPassword mit dem ursprünglichen Passwort übereinstimmt, um Datenkorruption oder Validierungsfehler in verschachtelten Objekten zu vermeiden.

Tim führt die Post-Anfrage für den Login-Endpunkt durch und demonstriert, dass ungültige E-Mail-Formate, kurze Passwörter oder nicht übereinstimmende Bestätigungspasswörter automatisch Validierungsfehler auslösen. Sobald die Felder das erwartete Format haben, ist die API-Antwort erfolgreich.

Tücken, die man vermeiden sollte: Barrierefreiheit zählt

Tim weist auf eine subtile Tücke hin: Die Validierung schlägt leise fehl, wenn Klassen oder Datensätze nicht öffentlich sind. Selbst wenn die API-Anfrage erfolgreich mit dem Objekt verknüpft wird, werden die Validierungsergebnisse nicht durchgesetzt:

interner Datensatz Login(...); // Die Validierung wird nicht ausgeführt

Er erklärt, dass bösartige Daten oder ungültige Eingaben weiterhin Objekte befüllen können, die Validierungsstrategie jedoch umgangen wird. Dieses Verhalten ist in ASP.NET Core dokumentiert, aber Visual Studio warnt Entwickler nicht, daher ist es entscheidend, regelmäßig Validierungsregeln zu überprüfen und sicherzustellen, dass alle API-Modelle öffentlich sind.

Vorteile der Verwendung der Minimal API-Validierung

Tim fasst zusammen, welche Vorteile die Validierung von API-Daten in Minimal APIs bietet:

  1. Eliminierung manueller Validierungslogik: Keine Notwendigkeit, repetitive Prüfungen für jede Eigenschaft zu schreiben.

  2. Sicherstellung der Datenintegrität: Verhindert, dass fehlerhafte Anfragen das Backend oder verschachtelte Objekte beschädigen.

  3. Verbesserung der Sicherheit: Reduziert die Belastung durch bösartige Daten, SQL-Injection, Cross-Site-Scripting und andere Sicherheitslücken.

  4. Bereitstellung klarer Fehlermeldungen: Gibt Validierungsfehler mit Fehlermeldungen und geeigneten HTTP-Statuscodes zurück (wie 400 Bad Request).

  5. Verbesserung der Entwicklererfahrung: Saubere, deklarative Validierung reduziert die Code-Duplikation und verbessert das Vertrauen in API-Antworten.

  6. Unterstützung umfassender Validierung: Arbeitet automatisch auf Anfragekörper, Abfragezeichenfolgen, Header und verschachtelte Objekte.

Indem Tims Ansatz gefolgt wird, können Entwickler umfassende Validierungen implementieren, ohne benutzerdefinierte Validatormethoden zu schreiben oder die Validierungslogik über mehrere Endpunkte zu wiederholen.

Abschluss

Tim Coreys Video bietet einen praktischen Leitfaden zur Implementierung der API-Validierung in Minimal APIs mit .NET 10. Von der Hinzufügung von Validierungsdiensten bis hin zur Dekoration von Klassen und Datensätzen mit Attributen und das Verständnis potenzieller Fallstricke demonstriert Tim, wie man Datenintegrität, Formatvalidierung und Fehlerbehandlung effektiv durchsetzt.

Eine ordnungsgemäße API-Datenvalidierung stellt sicher, dass Ihre REST-API nur gut strukturierte Anfragen verarbeitet, wodurch Risiken durch bösartige Daten, SQL-Injection, Cross-Site-Scripting und andere Sicherheitslücken reduziert werden. Durch die Verwendung von Validierungsregeln, Schema-Validierung und einer ordnungsgemäßen Validierungsstrategie wird das Vertrauen der Entwickler gestärkt und gleichzeitig ein sauberes und sicheres Backend aufrechterhalten.

Durch die Befolgung von Tims Anleitungen können Entwickler eine robuste, sichere und zuverlässige Validierungspipeline implementieren, die sicherstellt, dass jede Post-Anfrage, jedes Objekt und jede API-Anfrage die erwarteten Formate einhält und sowohl das Backend als auch den Endbenutzer schützt.

Auf dieser Seite

Verwandte Artikel

Zugriff auf Einstellungen während des Setups in ASP.NET Core / .NET 8
Postman-Klon mit Tim Corey bauen
Erstellen Sie Ihr eigenes Postman-Klon-UI mit Tim Corey
Hero Worlddot related to Minimal API-Datenvalidierung in .NET10: Ein tiefer Einblick mit Tim Corey
Hero Affiliate related to Minimal API-Datenvalidierung in .NET10: Ein tiefer Einblick mit Tim Corey

Verdienen Sie mehr, indem Sie teilen, was Sie lieben

Erstellen Sie Inhalte für Entwickler, die mit .NET, C#, Java, Python oder Node.js arbeiten? Verwandeln Sie Ihr Fachwissen in ein zusätzliches Einkommen!

Unserem Partnerprogramm beitreten

Iron Support Team

Wir sind 24 Stunden am Tag, 5 Tage die Woche online.
Chat
E-Mail
Rufen Sie mich an