ASP.NET MVC模型绑定1

一、模型绑定原理

模型绑定是指为Controller的Action方法的参数提供值的过程，例如我有一个名为Blog的实体类(准确的说是ViewModel)，它有一个名为Title的属性，如果我在VIEW里定义一个文本框<input type="text" id="Title" name="Title"> 和一个提交按钮，然后我在Controller中定义一个Add(Blog blog)的方法，当我们在View中点击提交按钮，会惊奇的发现Add方法中的blog参数的Title值就是我们在文本框中输入的值。

View中用Blog类的强类型辅助方法:@Html.EditorFor()，将Blog类的各个属性名和生成的Html客户端控件ID绑定了起来。

当 MVC 收到一个 HTTP 请求，它将其路由到一个 Controller 特定的一个 Action 方法。它基于路由数据来决定运行哪个 Action 方法，然后将值从 HTTP 请求绑定到 Action 方法的参数中。例如URL：

http://contoso.com/movies/edit/2

因为路由模板看起来像这样{controller=Home}/{action=Index}/{id?}， movies/edit/2 路由到Movies Controller ，和它的 Edit Action 方法。同时接受到一个可选参数 id 。 Action 方法代码应该看起来像这样：

public IActionResult Edit(int? id)

MVC 尝试通过参数名将请求数据绑定到 Action 的参数上。 MVC 将使用参数名以及它的公开可设置的属性名称查询所有的值。在上面的例子中，只有一个参数命名为 id ，MVC 将路由值中名称相同的值绑定过去。除了路由值之外， MVC 会以一种固定的顺序从 HTTP 请求中的其他部分绑定数据。下面是模型绑定的数据源列表的绑定顺序：

form表单中的数据：这是通过 HTTP POST 请求发送的表单数据（包括 jQuery POST 请求）。
RouteData中的数据：由 routing 提供的路由数据集。
QueryString中的数据：URI 的查询字符串的一部分。

提示：表单值，路由数据，以及查询字符串都以键值对的形式存储。

因为模型绑定要找一个命名为 id 的键，但是在表单值里没有命名为 id 的键，所以接下来将在路由数据中找寻这个键。在我们的例子中，它是匹配的。绑定发生时，该值转换为 integer 类型的 2。相同的请求使用 Edit(string id) 将转换成 string 类型的值 “2” 。

到目前为止的例子使用的都是简单类型。在 MVC 中简单类型是任何 .NET 原始类型或者带字符串的类型的转换器。如果 Action 方法的参数是一个类，这个类包含简单类型和复杂类型的属性，MVC 的模型绑定仍然可以很好的处理它。它使用反射和递归遍历复杂类型寻找匹配的属性。模型绑定寻找 parameter_name.parameter_name 的模式去绑定值到属性上。如果没有从表单中找到匹配的值，将尝试只通过 property_name 进行绑定。对于那些集合(Collection)类型，模型绑定会去匹配 parameter_name[index] 或者只是 [index] 。模型绑定对待字典(Dictionary)类型也是一样，寻找 parameter_name[key] 或只是 [key] ，前提是 Key是简单类型。 Key支持匹配HTML 和 Tag Helpers 为相同的模型类型生成的字段名。当创建或者编辑的绑定数据未通过验证的时候，回传值使得用户输入的表单字段仍然保留，方便了用户（不必重新输入全部数据）。

为了绑定发生，这个类必须有一个公开的默认构造函数，并且被绑定的成员必须是公开的，并且可写的属性。当模型绑定发生的时候只会通过默认的构造函数去实例化类型，然后设置属性的值。

当一个参数被绑定，模型绑定停止继续查找这个参数名并开始绑定下一个参数。如果绑定失败， MVC 不会抛出异常。你可以查询模型状态异常通过检查 ModelState.IsValid 属性。

提示：Controller 的 ModelState 属性中的每个 Entry 都是一个包含了 Errors 属性的 ModelStateEntry。你基本不需要去查询这个集合。使用 ModelState.IsValid 来替代它。

此外，还有一些特殊的数据类型在 MVC 执行模型绑定的时候需要考虑：

IFormFile, IEnumerable<IFormFile>：一个或多个通过 HTTP 请求上传的文件。
CancelationToken：用于在异步 Controller 中取消活动。

这些类型可以被绑定到 Action 参数或者一个类的属性中。

一旦模型绑定完成，就会进行验证。默认的模型绑定适合绝大多数开发场景。它也是可扩展的，所以如果你有独特的需求，你可以自定义内置的行为。

二、通过 Attributes 自定义模型绑定行为

MVC 包含几种让你可以指定与默认绑定源不同行为的 Attribute 。比如，你可以通过使用 [BindRequired] 或者 [BindNever] Attribute 指定一个属性是否需要绑定，或者它是否应该不发生。另外你可以替换默认的数据源，指定模型绑定器（Model Binder）的数据源。下面的是模型绑定 Attribute 的列表：

[BindRequired]：这个 Attribute 表示如果这个绑定不能发生，将添加一个模型状态错误（Model State Error）。
[BindNever]：告诉模型绑定器（Model Binder）这个参数不进行绑定。
[FromHeader], [FromQuery], [FromRoute], [FromForm]：通过这些来指定期望的绑定源。
[FromServices]：这个Attribute 使用dependency injection 通过服务来绑定参数。
[FromBody]：使用配置好的格式化器来从HTTP请求Body中绑定数据。格式化器的选择基于HTTP请求的 Content-Type
[ModelBinder]：用来替换默认的模型绑定器（Model Binder），绑定源和名字。

当你需要替换模型绑定的默认行为时，Attribute 是非常有用的工具。

三、从 Http Request 的 body 中绑定格式化数据

HTTP请求数据能够支持各种各样的格式，包括 JSON 、XML以及许多其它的格式。当你使用 [FromBody] 特性的时候表示你想要从HTTP请求的Body中绑定参数， MVC使用一个格式化器的配置集来处理与HTTP请求的Content-Type 对应的请求数据。默认情况下MVC 包含一个 JsonInputFormatter 类用来处理 JSON 数据，但是你可以添加额外的格式化器来处理XML或者其它自定义格式。

提示：

JsonInputFormatter 是默认的格式化器，它是基于Json.NET。

ASP.NET 选择输入格式化器基于 Content-Type Header 以及参数的类型，除非这里有一个 Attribute 去指定其它的。如果你更喜欢使用 XML 或者其他格式，你必须在 Startup.cs 文件中进行配置，但是首先你必须使用 NuGet 引用 Microsoft.AspNetCore.Mvc.Formatters.Xml 。你的启动代码看起来应该像这样：

复制代码

public void ConfigureServices(IServiceCollection services)

{

services.AddMvc()

.AddXmlSerializerFormatters();

}

Startup.cs 文件中的代码包含了一个带有 services 参数的 ConfigureServices 方法，你可以使用它来为你的 ASP.NET 应用构建服务。在示例中，我们添加一个 XML 格式化器作为一个在此应用中 MVC 能够提供的的服务。 options 参数传入 AddMvc 方法允许你去添加和管理过滤器（Filter），格式化器（Formatter），以及其它 MVC 的系统选项从应用中启动。然后应用各种各样的 Attribute 到 Controller 类或者 Action 方法上去实现你预期的效果。

四、绑定的例子

在WebForm，获取提交表单的值一般都是Request.Form["Title"]这样的方式

控制器方法的参数可以是字符串，整型变量，实体或者是List<实体>的方式获取表单提交的参数。

参数名称等内容需要与表单中的Html控件的name属性一一对应的。

例如方法：

        public ActionResult PersonAdd(int Id)

        {

            return View();

        }

　　例如以上代码，它能够匹配Url中的Id参数。如以下两种方法Id都能够匹配到1

　　http://localhost/Home/PersonAdd/1

　　http://localhost/Home/PersonAdd?Id=1

再例如：

        public ActionResult PersonAdd(string Name)

        {

            return View();

        }

　　　　它能够匹配到表单中提交的张三： <input type="text" name="Name" value="张三" />

　　　　也能够匹配到Get请求的路径参数：http://localhost/Home/PersonAdd?Name=张三

　　如果是用实体，则会检查该实体的属性名与表单中name属性中对应的标签的值。

　　例如有如下实体：

    public class Person_Model

    {

        public int Id { get; set; }

        public string Name { get; set; }

    }

在Controller中的参数填写如下：

[HttpPost]
public ActionResult PersonAdd(Person_Model model)
{
　　if (ModelState.IsValid)　　//此处仅作演示，不考虑安全性
　　{
　　　　//插入数据库省略
　　　　return Redirect("/Home/PersonManager");
　　}
　　return View();
}

这样的话，模型绑定器会自动检查该实体的属性与Name一一对应的标签并绑定。如下表单的值将被绑定到model实体的属性中。

　　<input type="hidden" name="Id" value="1" />

　　<input type="text" name="Name" value="张三" />

简单参数和复杂参数

　　如果Action方法的参数类型是值类型和字符串类型，那么DefaultModelBinder将寻找与Action参数名称匹配的参数，如果没有对应的参数，那么Action的参数将试图赋予空引用。因此，对于简单类型的参数来说，参数的类型应该是可空的。

　　多数情况下，我们会通过一个Model对象来处理复杂的参数，DefaultModelBinder会遍历Model对象的属性来绑定参数。
　　如果不希望DefaultModelBinder对某个参数进行绑定，可以通过BindAttribute进行说明，其中定义了三个属性：

Include表示需要绑定的属性，各个属性之间以逗号进行分隔。
Exclude表示不需要绑定的属性，各个属性之前以逗号分隔。
Prefix表示请求参数的前缀。？？

　　这些标签可以定义在Model上，说明在参数绑定过程中需要绑定的属性或者不需要绑定的属性，如：

[Bind(Include = "Name,Birthday")]

public class Person

{

　　public int Id { get; set; }

　　public string Name { get; set; }

　　public DateTime Birthday{ get; set; }

}

　　在UpdateModel方法中，指定包含的属性和不包含的属性。

UpdateModel(

　　person,     //Model 对象

　　"person",    //Prefix ？？

　　new[] { "Id","Name" },　　//Include

　　new [] { "Birthday" }　　 //Exclude

);

五、模型显式绑定

　　UpdateModel与TryUpdateModel都用于显示模型绑定。如果绑定期间出现错误或者模型是无效的。

　　UpdateModel将抛出一个异常。因此UpdateModel要用try catch语句块包起来，而TryUpdateModel不会抛出异常，而是返回一个布尔类型的值，true表示绑定成功,false表示绑定失败。如：

[HttpPost]
public ActionResult PersonAdd() 方法无参数
{
　　Person_Model model = new Person_Model(); //定义类对象
　　try
　　{
　　　　UpdateModel(model); //显式绑定
　　　　//插入数据库
　　　　return Redirect("/Home/PersonManager");
　　}
　　catch
　　{
　　　　return View(model);
　　}
}

六、模型绑定的安全性【绑定部分属性、多类同名】

假设有如下实体：

public class Comment
{
　　public int Id { get; set; }
　　//评论者姓名
　　public string Name { get; set; }
　　//评论内容
　　public string Content { get; set; }
　　//是否已审核
　　public bool Approved { get; set; }
}

控制器中的方法：

public ActionResult CommentAdd(Comment com)
{
　　if (ModelState.IsValid)
　　{
　　　　//添加数据库
　　　　return Redirect("/Home/CommentManager");
　　}
　　else
　　{
　　　　return View(com);
　　}
}

在以上代码中，如果有恶意用户在表单数据中添加"Approved=true"来干预表单的提交，那么该评论将是默认就通过审核的。这时候我们可以使用Bind特性来防御重复提交攻击。

可以用下面的属性禁止某些属性的绑定：

[Bind(Include="Name,Content")]   　　 //白名单，只绑定这两个属性

[Bind(Exclude="Id,Approved")]        //黑名单，不绑定这两个属性

public ActionResult CommentAdd([Bind(Exclude="Approved")]Comment com) 禁止Approved绑定
{
　　if (ModelState.IsValid)
　　{
　　　　//添加数据库
　　　　return Redirect("/Home/CommentManager");
　　}
　　else
　　{
　　　　 return View(com);
　　}
}

　另外，UpdateModel与TryUpdateModel也有一个重载版本来接收一个绑定列表：

UpdateModel(com, "", new string[] { "Id", "Name", "Content" });

还可以另外定义一个ViewModel,仅仅包括需要绑定的属性。

另外，如果两个类有相同的Name属性，要同时绑定，区分HTML可以这样写：【多个类属性名称相同的情况】

<p>客户名称: <input type="text" name="customer.Name" style="width: 300px" /></p>

<p>销售员名称: <input type="text" name="salesman.Name" style="width: 300px" /></p>