Exclut les biens de WebApi OData (EF) réponse en c#

Je travaille avec un WebApi projet en C# (EF premier code) et je suis en utilisant OData.
J'ai un modèle Utilisateur avec l'Id, Nom, Prénom, Email, Mot de passe.

Dans le contrôleur, par exemple j'ai ce code:

//GET: odata/Users
[EnableQuery]
public IQueryable<User> GetUsers()
{
    return db.Users;
}

Si je l'appelle /odata/Utilisateurs, je vais obtenir toutes les données: Id, Nom, Prénom, Email, Mot de passe.

Comment puis-je exclure un Mot de passe à partir des résultats, mais de mettre à disposition dans le contrôleur pour faire des requêtes Linq?

OriginalL'auteur Martín | 2015-01-05

asp.net-web-api c#entity-framework linq odata

14

Je suis un peu en retard pour le sujet, mais je pense que cela pourrait vous aider.

Je suppose que vous souhaitez crypter le mot de passe à des fins de stockage. Avez-vous regardé à l'aide d'un odata d'action pour définir le mot de passe? À l'aide d'une action permet d'ignorer la propriété de mot de passe lors de la configuration de votre entités pendant encore d'exposer une méthode propre à l'utilisateur final pour mettre à jour le mot de passe.

première: ignorer le mot de passe de propriété
```
builder.EntitySet<UserInfo>("UserInfo").EntityType.Ignore(ui => ui.Password);
```
deuxième: ajouter votre odata action
```
builder.EntityType<UserInfo>().Action("SetPassword").Returns<IHttpActionResult>();
```
Puis ajouter la méthode SetPassword à votre UserInfoController.

Ce n'est pas une bonne solution. Comme je l'ai dit j'ai besoin de Mot de passe disponible dans l'EDM!!! Je veux juste supprimer de la réponse!
Je suppose que je suis confus quant à ce que vous entendez par "disponible dans la GED". Cette solution vous permet d'accéder à la propriété de mot de passe dans l'api et le supprime de la charge utile.
J'ai juste besoin d'avoir accès au mot de passe à l'intérieur d'une méthode dans le contrôleur, mais je ne veux pas le montrer dans la réponse (quand je reviens à l'objet de l'Utilisateur). Quand je dis que j'ai besoin de cette disposition dans la GED je dis juste que j'ai besoin de travailler avec le mot de passe dans le contrôleur (travailler avec des requêtes linq, etc).
C'est la bonne solution, de l'omi. Comme je comprends votre objectif, vous voulez travailler avec User dans votre contrôleur et pas besoin de l'appoint UserInfo mappage de classe. Avec cette solution, vous pouvez. Déposer UserInfo et exposer User directement. Puis appliquer @RickWillis solution sur le User entité, le résultat sera le Mot de passe ne soient pas exposés dans le OData charge utile.

OriginalL'auteur Rick Willis
6

Ajouter [NotMapped] l'attribut de la propriété de Mot de passe dans la Classe Utilisateur comme suit:
```
public class User
{
    public int Id { get; set; }

    public string Name { get; set; }

    public string Email { get; set; }

    public string LastName {get; set; }

    [NotMapped]
    public string Password {get; set;}
}
```
Maya, qui ne fonctionne pas pour moi, car comme je l'ai dit dans mon post j'ai besoin de garder la propriété disponible dans le contrôleur pour faire des requêtes linq. Si j'essaie de la NotMapped la propriété sera pas présent dans le modèle d'entité. J'ai besoin de cette propriété, mais je veux juste cacher de l'API de réponses.
Maya solution est d'ignorer la propriété de requête OData, mais encore de la sérialisation. Merci!

OriginalL'auteur Maya

Il pourrait être un peu tard, mais une solution élégante serait d'ajouter des QueryableSelectAttribute et puis tout simplement la liste des champs que vous souhaitez utiliser sur le service-côté. Dans votre cas, il va ressembler à quelque chose comme ceci:

public class QueryableSelectAttribute : ActionFilterAttribute
{
    private const string ODataSelectOption = "$select=";
    private string selectValue;

    public QueryableSelectAttribute(string select)
    {
        this.selectValue = select;
    }

    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        base.OnActionExecuting(actionContext);

        var request = actionContext.Request;
        var query = request.RequestUri.Query.Substring(1);
        var parts = query.Split('&').ToList();

        for (int i = 0; i < parts.Count; i++)
        {
            string segment = parts[i];
            if (segment.StartsWith(ODataSelectOption, StringComparison.Ordinal))
            {
                parts.Remove(segment);
                break;
            }
        }

        parts.Add(ODataSelectOption + this.selectValue);

        var modifiedRequestUri = new UriBuilder(request.RequestUri);
        modifiedRequestUri.Query = string.Join("&", parts.Where(p => p.Length > 0));
        request.RequestUri = modifiedRequestUri.Uri;

        base.OnActionExecuting(actionContext);
    }
}

Et dans le contrôleur, il suffit d'ajouter l'attribut avec les propriétés souhaitées:

[EnableQuery]
[QueryableSelect("Name,LastName,Email")]
public IQueryable<User> GetUsers()
{
    return db.Users;
}

Et c'est tout!

Bien sûr, le même principe peut être appliqué pour un custom QueryableExpandAttribute.

C'est aussi une idée très intéressante pour une sorte de "Permission de l'Attribut" où seules certaines propriétés/élargit peuvent être renvoyés en fonction des autorisations.
c'est la seule chose qui a fonctionné pour moi. Toutefois, malheureusement, il supprime le "$select" clause de l'URI de la demande elle-même. Donc, si je veux filtrer les champs uniquement de Nom et de Nom, il sera de retour TOUS les champs Nom,Prénom,e-Mail - de toute façon 🙁
Un autre inconvénient est que chaque fois que j'ajoute une nouvelle propriété à mon DTO, j'ai du modifier son [QueryableSelect("")] l'attribut de chaque méthode dans mon TableController.

OriginalL'auteur Corneliu Serediuc

5

Comment puis-je exclure un Mot de passe à partir des résultats, mais de mettre à disposition dans le contrôleur pour faire des requêtes Linq?

L'ignorer. De Les Conseils de sécurité pour ASP.NET Web API 2 OData:
Il y a deux façons de exlude une propriété de l'EDM. Vous pouvez définir le
[IgnoreDataMember] l'attribut de la propriété dans la classe du modèle:
```
public class Employee
{
    public string Name { get; set; }
    public string Title { get; set; }
    [IgnoreDataMember]
    public decimal Salary { get; set; } //Not visible in the EDM
}
```
Vous pouvez également retirer le bien de l'EDM par programme:
```
var employees = modelBuilder.EntitySet<Employee>("Employees");
employees.EntityType.Ignore(emp => emp.Salary);
```
Merci, mais j'ai vu que la documentation il y a deux jours. Si j'essaie de la [IgnoreDataMember] je n'aurai pas accès au Mot de passe dans la GED n'est donc pas de travail pour moi. Je ne peux pas supprimer la propriété par programme à partir de contrôleur parce que l'EDM est défini dans le WebApiConfig.cs. Comme je l'ai dit j'ai besoin de ce visible dans l'EDM, mais pas dans la réponse.
Qu'est-ce que cela signifie? Entity Framework devrait vous permettre de l'interroger.
Si vous excluez la propriété de EDM cela ne va pas apparaître dans le OBTENIR la réponse (c'est OK), mais si vous essayez par exemple de faire un POST pour créer un nouvel Utilisateur dans l'API, le mot de passe sera pas reçu parce que le bien ne fait pas partie de l'EDM. C'est pourquoi j'ai besoin de cacher le mot de passe uniquement pour les réponses, mais pas toutes les EDM (je pense que la seule solution est de créer une nouvelle classe avec les paramètres que j'ai besoin d'uniquement pour les réponses).

OriginalL'auteur ta.speot.is

Ce que vous devez faire est de faire un odata contrôleur qui renvoie prévu un sous-ensemble de l'entité d'origine.

//in WebApi Config Method
config.MapHttpAttributeRoutes();

ODataConventionModelBuilder builder = new ODataConventionModelBuilder();
builder.EntitySet<FullEntity>("FullData");
builder.EntitySet<SubsetEntity>("SubsetData");
config.Routes.MapODataServiceRoute("odata", "odata", builder.GetEdmModel());


config.Routes.MapHttpRoute(
  name: "DefaultApi",
  routeTemplate: "api/{controller}/{action}/{id}",
  defaults: new { id = RouteParameter.Optional, action = "GET" }
);
SetupJsonFormatters();
config.Filters.Add(new UncaughtErrorHandlingFilterAttribute());

... alors les deux Odata Contrôleurs de un pour FulLData, un pour SubsetData (sécurité différents),

namespace myapp.Web.OData.Controllers
{
    public class SubsetDataController : ODataController
    {
        private readonly IWarehouseRepository<FullEntity> _fullRepository;
        private readonly IUserRepository _userRepository;

        public SubsetDataController(
            IWarehouseRepository<fullEntity> fullRepository,
            IUserRepository userRepository
            )
        {
            _fullRepository = fullRepository;
            _userRepository = userRepository;
        }

public IQueryable<SubsetEntity> Get()
        {
            Object webHostHttpRequestContext = Request.Properties["MS_RequestContext"];
            System.Security.Claims.ClaimsPrincipal principal =
                (System.Security.Claims.ClaimsPrincipal)
                    webHostHttpRequestContext.GetType()
                        .GetProperty("Principal")
                        .GetValue(webHostHttpRequestContext, null);
            if (!principal.Identity.IsAuthenticated)
                throw new Exception("user is not authenticated cannot perform OData query");

            //do security in here

            //irrelevant but this just allows use of data by Word and Excel.
            if (Request.Headers.Accept.Count == 0)
                Request.Headers.Add("Accept", "application/atom+xml");

            return _fullRepository.Query().Select( b=>
                    new SubsetDataListEntity
                    {
                        Id = b.Id,
                        bitofData = b.bitofData
                    }
          } //end of query
   } //end of class

D'où vient la méthode Query() viennent de?
Ce code suppose que vous retourner public IQueryable<EntityName> Query() de votre base de données de contexte. En d'autres termes dans la Requête() faire une requête sur vous dbcontext comme contexte.Set<EntityName>().AsQueryable();

OriginalL'auteur

1

Vous déjà essayé cela?

Juste mettre à jour la propriété.
```
[EnableQuery]
public async Task<IQueryable<User>> GetUsers()
{
    var users = db.User;

    await users.ForEachAsync(q => q.Password = null);

    return users;
}
```
Qu'est-ce que "db.L'utilisateur"? Où puis-je trouver le "db" variable? Si j'utilise de la Requête "()" au lieu de cela, il déclenchera une exception: System.InvalidOperationException: "La source IQueryable ne pas mettre en œuvre IDbAsyncEnumerable<MyType>. Seules sources qui mettent en œuvre des IDbAsyncEnumerable peut être utilisé pour l'Entité Cadre des opérations asynchrones. Pour plus de détails, voir go.microsoft.com/fwlink/?LinkId=287068.'

OriginalL'auteur Igor Quirino
1

Nous pouvons profiter de la ConventionModelBuilder et l'utilisation DataContract/DataMember pour activer explicitement les propriétés d'être dans le EdmModel.

DataContract & DataMember

Règle: Si vous utilisez DataContract ou DataMember, seulement de la propriété avec [DataMember] attribut sera ajouté dans Edm modèle.

Noter que cela n'affecte pas la EntityFramework, car nous ne sommes pas à l'aide de la [NotMapped] attribut (sauf si vous ne voulez pas qu'il en soit le modèle)
```
[DataContract]
public class User
{
    [DataMember]
    public int Id { get; set; }

    [DataMember]
    public string Name { get; set; }

    [DataMember]
    public string Email { get; set; }

    [DataMember]
    public string LastName {get; set; }

    //NB Password won't be in EdmModel but still available to EF
    public string Password {get; set;}
}
```
Cela a l'avantage de garder toute la logique de mapping dans un endroit dans votre projet

OriginalL'auteur Paul Hatcher

J'ai fait un métier et solution temporaire à ce problème (qui n'est pas la meilleure solution car UserInfo n'est pas un type d'entité et ne pas supporter $select ou $expand).
J'ai créé un nouveau modèle appelé UserInfo juste avec les propriétés dont j'ai besoin (à part de l'Utilisateur):

public class UserInfo
{
    public int Id { get; set; }
    public string Name { get; set; }
    public string Email { get; set; }
}

Puis j'ai changé la méthode dans le contrôleur:

//GET: odata/Users
[EnableQuery]
public IQueryable<UserInfo> GetUsers()
{
    List<UserInfo> lstUserInfo = new List<UserInfo>();

    foreach(User usr in db.Users)
    {
        UserInfo userInfo = new UserInfo();
        userInfo.Id = usr.Id;
        userInfo.Name = usr.Name;
        userInfo.Email = usr.Email;

        lstUserInfo.Add(userInfo);
    }

    return lstUserInfo.AsQueryable();
}

N'est-ce pas briser le IQueryable design? Que faire si vous souhaitez que 5 documents de 10 000 000?

OriginalL'auteur Martín

0

Vous pouvez créer une nouvelle vue dans la DB avec les seules données dont vous avez besoin. Puis définissez EntitySetRights.Aucune pour la table des Utilisateurs et de créer des relations nécessaires pour créé vue.
Maintenant, vous pouvez faire commun odata requêtes (GET odata/UsersFromView) et d'utilisateurs de données sans mot de passe. Post de demande que vous pouvez faire à l'aide de table des Utilisateurs.

OriginalL'auteur DominGez

Rien d'autre n'a fonctionné pour moi, donc voici une solution élégante.

Utiliser le HideSensitiveProperties() méthode d'extension dans votre TableController comme ça.

    //GET tables/User
    public IQueryable<User> GetAllUsers()
    {
        return Query().HideSensitiveProperties();
    }

    //GET tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public SingleResult<User> GetUser(string id)
    {
        return Lookup(id).HideSensitiveProperties();
    }

    //PATCH tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public Task<User> PatchUser(string id, Delta<User> patch)
    {
        return UpdateAsync(id, patch).HideSensitivePropertiesForItem();
    }

    //POST tables/User
    public async Task<IHttpActionResult> PostUser(User item)
    {
        User current = await InsertAsync(item);
        current.HideSensitivePropertiesForItem();
        return CreatedAtRoute("Tables", new { id = current.Id }, current);
    }

    //DELETE tables/User/48D68C86-6EA6-4C25-AA33-223FC9A27959
    public Task DeleteUser(string id)
    {
        return DeleteAsync(id);
    }

Bien que ce ne sera pas supprimer le nom de la propriété à partir de la réponse, mais il donne sa valeur à null.

public static class HideSensitivePropertiesExtensions
{
    public static async Task<TData> HideSensitivePropertiesForItem<TData>(this Task<TData> task)
        where TData : ModelBase
    {
        return (await task).HideSensitivePropertiesForItem();
    }

    public static TData HideSensitivePropertiesForItem<TData>(this TData item)
        where TData : ModelBase
    {
        item.Password = null;
        return item;
    }

    public static SingleResult<TData> HideSensitiveProperties<TData>(this SingleResult<TData> singleResult)
        where TData : ModelBase
    {
        return new SingleResult<TData>(singleResult.Queryable.HideSensitiveProperties());
    }

    public static IQueryable<TData> HideSensitiveProperties<TData>(this IQueryable<TData> query)
        where TData : ModelBase
    {
        return query.ToList().HideSensitiveProperties().AsQueryable();
    }

    public static IEnumerable<TData> HideSensitiveProperties<TData>(this IEnumerable<TData> query)
        where TData : ModelBase
    {
        foreach (var item in query)
            yield return item.HideSensitivePropertiesForItem();
    }
}

Ici ModelBase est la classe de base pour tous les Dto.

OriginalL'auteur Artemious

0

Vous ne devriez pas interroger votre modèle de Domaine directement dans le contrôleur. Au lieu de cela, créer un QueryModel DTO que des cartes pour le modèle de Domaine.

Vous pouvez lire plus au sujet de ces concepts dans le DDD et le CQRS

OriginalL'auteur LastTribunal
-2

utilisation Automapper
```
[EnableQuery]
public IQueryable<User> GetUsers()
{
    //Leave password empty
    Mapper.CreateMap<User, User>().ForMember(x => x.Password, opt => opt.Ignore());

    return db.Users.ToList().Select(u=>Mapper.Map<User>(u)).AsQueryable();      
}
```
J'obtiens un "message": "LINQ to entities ne reconnaît pas la méthode 'ExampleAPI.Modèles.Carte Utilisateur[User](Système D'.Objet)', et cette méthode ne peut pas être traduit dans un magasin d'expression.",
Manque un ToList dans le milieu, vérifier maintenant
J'ai changé le code et l'erreur a été résolu, mais toujours obtenir le mot de passe dans la réponse Odata.
Essayez-les avec de l'Ignorer au lieu de UseDestination valeur (j'ai mis à jour ma réponse)
Merci mais le mot de passe est toujours affiché dans la réponse.

OriginalL'auteur dariogriffo

Vous devez vous connecter pour publier un commentaire.