Minimal APIのデータ検証 .NET 10: Tim Coreyによる徹底解説

ミニマルAPIバリデーションの紹介

ティム・コリーは、.NET 10のミニマルAPIがいくつかのアップグレードを受けたことを強調し、その1つがリクエストのバリデーションであると述べています。 これにより、クエリストリング、ヘッダー、リクエストボディを通じて受け取るリクエストを自動的にバリデーションできます。 ティムは、適切なバリデーションが、開発者体験を向上させるだけでなく、不正なリクエストがビジネスロジックに到達するのを防ぐことが、データ整合性の維持と機密情報の保護に不可欠であると強調しています。

ティムの動画は、抽象理論に深く入り込むことなく行動可能なガイダンスを提供することを目的とした10分間の迅速なトレーニングシリーズの一部であると述べています。 彼は視聴者に彼のソースコードをダウンロードして従うことを奨励します。

バリデーションのためのミニマルAPIの設定

バリデーションルールを示すために、ティムはファイル新規プロジェクトからミニマルAPIを設定し、APIバリデーションに焦点を合わせて簡素化します。 彼の例APIには以下が含まれています：

• 接続性をテストするためのHello Worldエンドポイント。

• Personオブジェクトを受け入れるPOSTリクエスト/personエンドポイント。

• LoginレコードのためのPOSTリクエスト/loginエンドポイント。

ティムはAPIを実行し、不正なデータが最初は受け入れられることを示します。 例えば、空白のPersonオブジェクトや無効なメールがLoginレコードに送信されても、APIレスポンスは成功します。 これは、バックエンドで不正なデータが処理されるのを防ぐためのスキーマバリデーションとリクエストバリデーションの必要性を示しています。

ミニマルAPIにバリデーションサービスを追加する

ティムは、適切なバリデーションを実装する最初のステップは、APIにバリデーションサービスを登録することであると説明します：

builder.Services.AddValidation();

このサービスを追加することで、ルートハンドラは、自動的に着信リクエストに対する型チェック、フォーマットバリデーション、およびコンテンツバリデーションを行います。 ティムは、このステップが重要であり、バリデーションの失敗がエラーメッセージを生成し、悪意あるデータがシステムを迂回することを防止することを指摘します。

クラスのバリデーション: Personモデルの例

ティムは、System.ComponentModel.DataAnnotationsを使用してPersonクラスにバリデーション属性を追加します。 彼はプロパティを必須としてマークし、最小の長さ制約を持つフォーマットバリデーションを強制します：

[Required]
[MinLength(2)]
public string FirstName { get; set; }

[Required]
[MinLength(2)]
public string LastName { get; set; }

APIを実行すると、リクエストボディに必須フィールドがない場合や、不正な形式のデータが含まれる場合にバリデーションエラーが発生します。 たとえば、1文字のLastNameを送信すると、400 Bad Requestが発生し、詳細なエラーメッセージが表示されます：

"LastNameフィールドは、最小の長さが2の文字列または配列型である必要があります。"

ティムは、バリデーションライブラリを使用することでコードの重複が減少し、開発者がビジネスロジックに集中できると指摘しています。

レコードのバリデーション: Loginレコードの例

レコードのバリデーションは少し異なる要素を持っており、プロパティはコンストラクタで定義されています。 ティムは、[property:]構文を使ってレコードにバリデーションルールを適用する方法を示します：

public record Login(
    [property: Required, EmailAddress] string Email,
    [property: Required, MinLength(10)] string Password,
    [property: Compare(nameof(Password))] string ConfirmPassword
);

ティムが説明する重要なポイント：

• メールバリデーションは、Emailフィールドが正しい形式に従うことを保証します。

• パスワードの最小長さは、不正なリクエストや弱いパスワードを防ぎます。

• [Compare(nameof(Password))]は、ConfirmPasswordが元のPasswordとマッチすることを保証し、データの破損やネストされたオブジェクト内でのバリデーションの失敗を回避します。

ティムは、ログインエンドポイントのポストリクエストを実行し、無効なメール形式、短いパスワード、あるいは一致しない確認パスワードがあれば自動的にバリデーションエラーを発生させることを示します。 フィールドが期待される形式を満たすと、APIレスポンスは成功します。

避けるべき落とし穴: アクセシビリティが重要

ティムは、クラスやレコードがパブリックでない場合、バリデーションが静かに失敗する可能性があることに注意する必要があると指摘します。 APIリクエストがオブジェクトに正常にバインドされても、バリデーションの結果は適用されません：

internal record Login(...); // バリデーションは実行されません

彼は、悪意あるデータや無効な入力がオブジェクトをポピュレートする可能性があるが、バリデーション戦略が迂回されることを説明します。 この動作はASP.NET Coreで文書化されていますが、Visual Studioは開発者に警告しないため、バリデーションルールを定期的に確認し、すべてのAPIモデルがパブリックであることを保証することが重要です。

ミニマルAPIバリデーションの利点

ティムは、ミニマルAPIにおけるAPIデータバリデーションの利点をまとめて説明します：

手動バリデーションロジックを排除する：各プロパティのための繰り返しチェックを記述する必要はありません。

データの整合性を保証する：不正なリクエストがバックエンドやネストされたオブジェクトを破損するのを防ぎます。

セキュリティの向上: 悪意のあるデータ、SQLインジェクション、クロスサイトスクリプティング、その他のセキュリティ脆弱性への暴露を減少させます。

明確なエラーメッセージを提供する：バリデーションの失敗時にエラーメッセージと適切なHTTPステータスコード（400 Bad Requestなど）を返します。

開発者体験の向上：クリーンで宣言的なバリデーションはコードの重複を減少させ、APIレスポンスへの信頼を向上させます。

包括的なバリデーションをサポート：自動的にリクエストボディ、クエリストリング、ヘッダー、ネストオブジェクトに対して機能します。

ティムのアプローチに従うことで、開発者はカスタムバリデータメソッドを書いたり、複数のエンドポイントにバリデーションロジックを繰り返し書いて実装することなく包括的なバリデーションを実装できます。

結論

ティム・コリーの動画は、.NET 10を使ったミニマルAPIでのAPIバリデーションの実装のための実用的なステップバイステップガイドを提供します。バリデーションサービスの追加から、クラスやレコードに属性を装飾し、可能性のある落とし穴を理解することまで、ティムはデータの整合性を強制し、形式バリデーションを実施し、エラーハンドリングを効果的に行う方法を示しています。

適切なAPIデータバリデーションはREST APIが正常に形成されたリクエストのみを処理することを保証し、悪意のあるデータやSQLインジェクション、クロスサイトスクリプティング、その他のセキュリティ脆弱性からのリスクを減少させます。 バリデーションルール、スキーマバリデーション、適切なバリデーション戦略を使うことで、開発者の信頼を強化し、クリーンで安全なバックエンドを維持します。

ティムのガイドを参考にすることで、開発者は堅牢で、安全で信頼性の高いバリデーションパイプラインを実装し、すべてのポストリクエスト、すべてのオブジェクト、そしてすべてのAPIリクエストが期待される形式に準拠するようにし、バックエンドとエンドユーザーの両方を保護します。