5

我正在尝试找到一种解决方案来验证在 POST 请求中发送的 XML 数据是否满足给定的自定义 XML 模式。

如果我使用XmlMediaTypeFormatter随 ASP.NET Web API 提供的,我没有可用的模式验证,据我所知。例如:如果我有一个模型类型......

public class Order
{
    public string Code { get; set; }
    public int Quantity { get; set; }
}

ApiController...以及...中的 POST 操作

public HttpResponseMessage Post(Order order)
{
    if (ModelState.IsValid)
    {
        // process order...
        // send 200 OK response for example
    }
    else
        // send 400 BadRequest response with ModelState errors in response body
}

...我可以发布以下“错误”的 XML 数据,但仍会得到 200 OK 响应:

User-Agent: Fiddler
Host: localhost:45678
Content-Type: application/xml; charset=utf-8

<Order> <Code>12345</Nonsense> </Order>   // malformed XML

或者:

<Order> <CustomerName>12345</CustomerName> </Order>    // invalid property

或者:

<Customer> <Code>12345</Code> </Customer>    // invalid root

或者:

"Hello World"    // no XML at all

等等等等

我对请求进行验证的唯一一点是模型绑定:在请求示例 1、3 和 4 中,order传递到Post方法中的是null,在示例 2order.Codenull,我可以通过测试order == null或标记Code属性来使属性无效[Required]属性。我可以在响应中使用 400“BadRequest”Http 状态代码和响应正文中的验证消息将此验证结果发回。但是我不能确切地说出什么是错误的,也无法区分示例 1、3 和 4 中的错误 XML(没有order发布,这是我唯一能看到的) - 例如。

要求Order必须使用特定的自定义 XML 模式发布,例如xmlns="http://test.org/OrderSchema.xsd",我想验证发布的 XML 是否对此模式有效,如果不是,则在响应中发回模式验证错误。为了实现这一点,我从一个自定义开始MediaTypeFormatter

public class MyXmlMediaTypeFormatter : MediaTypeFormatter
{
    // constructor, CanReadType, CanWriteType, ...

    public override Task<object> ReadFromStreamAsync(Type type, Stream stream,
        HttpContentHeaders contentHeaders, IFormatterLogger formatterLogger)
    {
        var task = Task.Factory.StartNew(() =>
        {
            using (var streamReader = new StreamReader(stream))
            {
                XDocument document = XDocument.Load(streamReader);
                // TODO: exceptions must the catched here,
                // for example due to malformed XML
                XmlSchemaSet schemaSet = new XmlSchemaSet();
                schemaSet.Add(null, "OrderSchema.xsd");

                var msgs = new List<string>();
                document.Validate(schemaSet, (s, e) => msgs.Add(e.Message));
                // msgs contains now the list of XML schema validation errors
                // I want to send back in the response
                if (msgs.Count == 0)
                {
                    var order = ... // deserialize XML to order
                    return (object)order;
                }
                else
                    // WHAT NOW ?
            }
        });
        return task;
    }
}

只要一切正确,这就是有效的。

但我不知道该怎么办msgs.Count > 0。如何将此验证结果列表“传输”到Post操作,或者如何创建包含这些 XML 模式验证消息的 Http 响应?

此外,我不确定自定义MediaTypeFormatter是否是此类 XML 模式验证的最佳扩展点,以及我的方法是否正确。定制HttpMessageHandler/可能DelegatingHandler是一个更好的地方吗?或者是否有一些开箱即用的更简单的东西?

4

2 回答 2

6

如果我这样做,我不会使用格式化程序。格式化程序的主要目标是将连线表示转换为 CLR 类型。在这里,您有一个 XML 文档,您想要根据一个完全不同的任务来验证模式。

我建议创建一个新的 MessageHandler 来进行验证。从 DelegatingHandler 派生,如果内容类型是application/xml将内容加载到 XDocument 并验证。如果失败,则抛出 HttpResponseException。

只需将您的 MessageHandler 添加到 Configuration.MessageHandlers 集合中即可。

使用派生的 XmlMediaTypeFormatter 的问题在于,您现在正在执行嵌入在 ObjectContent 代码中的某个点,并且干净地退出可能会很棘手。此外,使 XmlMediaTypeFormatter 变得更复杂可能不是一个好主意。

我尝试创建 MessageHandler。我实际上并没有尝试运行此代码,所以买家要小心。此外,如果您避免阻止调用者,任务内容会变得非常棘手。也许有人会为我清理该代码,无论如何它就在这里。

  public class SchemaValidationMessageHandler : DelegatingHandler {

        private XmlSchemaSet _schemaSet;
        public SchemaValidationMessageHandler() {

            _schemaSet = new XmlSchemaSet();
            _schemaSet.Add(null, "OrderSchema.xsd");
        }

        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) {

            if (request.Content != null && request.Content.Headers.ContentType.MediaType == "application/xml")
            {
                var tcs = new TaskCompletionSource<HttpResponseMessage>();

                var task =  request.Content.LoadIntoBufferAsync()  // I think this is needed so XmlMediaTypeFormatter will still have access to the content
                    .ContinueWith(t => {
                                      request.Content.ReadAsStreamAsync()
                                          .ContinueWith(t2 => {
                                                            var doc = XDocument.Load(t2.Result);
                                                            var msgs = new List<string>();
                                                            doc.Validate(_schemaSet, (s, e) => msgs.Add(e.Message));
                                                            if (msgs.Count > 0) {
                                                                var responseContent = new StringContent(String.Join(Environment.NewLine, msgs.ToArray()));
                                                                 tcs.TrySetException(new HttpResponseException(
                                                                    new HttpResponseMessage(HttpStatusCode.BadRequest) {
                                                                        Content = responseContent
                                                                    }));
                                                            } else {
                                                                tcs.TrySetResult(base.SendAsync(request, cancellationToken).Result);
                                                            }
                                                        });

                                  });
                return tcs.Task;
            } else {
                return base.SendAsync(request, cancellationToken);
            }

        }
于 2012-08-06T01:53:01.960 回答
0

通过反复试验,我找到了一个解决方案(对于WHAT NOW ?问题代码中的占位符):

//...
else
{
    PostOrderErrors errors = new PostOrderErrors
    {
        XmlValidationErrors = msgs
    };
    HttpResponseMessage response = new HttpResponseMessage(
        HttpStatusCode.BadRequest);
    response.Content = new ObjectContent(typeof(PostOrderErrors), errors,
        GlobalConfiguration.Configuration.Formatters.XmlFormatter);
    throw new HttpResponseException(response);
}

...使用这样的响应类:

public class PostOrderErrors
{
    public List<string> XmlValidationErrors { get; set; }
    //...
}

这似乎有效,然后响应如下所示:

HTTP/1.1 400 Bad Request
Content-Type: application/xml; charset=utf-8

<PostOrderErrors xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                 xmlns:xsd="http://www.w3.org/2001/XMLSchema">
    <XmlValidationErrors>
        <string>Some error text...</string>
        <string>Another error text...</string>
    </XmlValidationErrors>
</PostOrderErrors>
于 2012-08-06T10:43:57.720 回答