答案:.NET Web API 模型验证通过数据注解、自定义特性、IValidatableObject 和全局过滤器实现,确保数据合法性。使用 [Required]、[StringLength] 等特性可自动验证字段;自定义 ValidationAttribute 支持复杂规则如用户名不含邮箱前缀;IValidatableObject 用于跨字段验证如密码一致性;通过全局 ModelStateValidationFilter 统一处理验证失败响应,避免重复代码,提升接口健壮性与可维护性。
.NET Web API 中的模型验证是确保客户端提交的数据符合预期结构和规则的关键环节。通过合理的验证机制,可以减少错误数据进入业务逻辑层,提升接口的健壮性和安全性。实现模型验证有多种方式,最常用的是基于数据注解(Data Annotations)和手动验证,也可结合自定义验证逻辑或使用第三方库增强灵活性。
使用数据注解进行模型验证
这是最简单且广泛使用的方式。在模型类的属性上添加特性(Attributes),由框架自动触发验证。
- [Required]:标记字段为必填项
- [StringLength]:限制字符串长度
- [Range]:数值范围限制
- [EmailAddress]:验证邮箱格式
- [RegularExpression]:使用正则表达式校验格式
例如:
public class UserDto
{
[Required(ErrorMessage = "姓名不能为空")]
[StringLength(50, ErrorMessage = "姓名不能超过50个字符")]
public string Name { get; set; }
[Required]
[EmailAddress(ErrorMessage = "邮箱格式不正确")]
public string Email { get; set; }
[Range(18, 100, ErrorMessage = "年龄必须在18到100之间")]
public int Age { get; set; }
}
控制器中可通过 ModelState.IsValid 判断验证是否通过:
[HttpPost]
public IActionResult Create([FromBody] UserDto user)
{
if (!ModelState.IsValid)
{
return BadRequest(ModelState);
}
// 处理逻辑
return Ok();
}
自定义验证逻辑
当内置注解无法满足需求时,可创建自定义验证特性。继承 ValidationAttribute 并重写 IsValid 方法。
例如,要求用户名不能与邮箱前缀相同:
public class NoEmailPrefixInNameAttribute : ValidationAttribute
{
protected override ValidationResult IsValid(object value, ValidationContext validationContext)
{
var model = (UserDto)validationContext.ObjectInstance;
if (model.Name != null && model.Email != null)
{
var emailPrefix = model.Email.Split('@')[0];
if (model.Name.Contains(emailPrefix))
{
return new ValidationResult("用户名不能包含邮箱前缀");
}
}
return ValidationResult.Success;
}
}
将该特性应用到模型:
[NoEmailPrefixInName]
public class UserDto { ... }
使用 IValidatableObject 接口
对于跨字段或多条件组合验证,实现 IValidatableObject 接口更合适。
修改模型类:
public class UserDto : IValidatableObject
{
public string Password { get; set; }
public string ConfirmPassword { get; set; }
public IEnumerable Validate(ValidationContext validationContext)
{
if (Password != ConfirmPassword)
{
yield return new ValidationResult("两次密码输入不一致", new[] { nameof(ConfirmPassword) });
}
}
}
这种方式适合需要访问整个对象实例的复杂验证场景。
全局处理验证失败响应
为了避免每个 Action 都重复写 if (!ModelState.IsValid),可以通过过滤器统一处理。
注册全局过滤器,在 Program.cs 或 Startup.cs 中配置:
builder.Services.AddControllers(options =>
{
options.Filters.Add(new ModelStateValidationFilter());
});
自定义过滤器示例:
public class ModelStateValidationFilter : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext context)
{
if (!context.ModelState.IsValid)
{
context.Result = new BadRequestObjectResult(context.ModelState);
}
}
}
这样所有请求都会自动检查模型状态并返回标准化错误信息。
基本上就这些。合理使用数据注解、自定义特性、IValidatableObject 和全局过滤器,就能构建出清晰可靠的 Web API 模型验证体系。关键在于根据实际场景选择合适的方式,保持代码简洁且易于维护。
