本文主要讲的内容是 Entity Framework基础上的MVC 的起步基础操作。
下面的内容和上一篇的内容类似(MVC操作起步),但这次要使用Entity Framework,更加简单强大且暴力。
这个会生成所有的templates,会生成 View,会生成Controller,会生成 Code in the Controller to save in database
值得注意的是,右手边的View 中还出现了Contact文件夹,对应的是在Model中的ContactController
比如说:
public ActionResult Index()
{
return View(db.Contacts.ToList());
}
这个ControllerAction 返回的就是View中的Index.cshtml
再简单讨论一下下面的例子:
这里如果ModelState.IsValid 为false,那么返回原页面,如果为true,就进行SaveChanges的操作
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Create([Bind(Include = "Id,FristName,LastName,Email,AcceptTerms")] Contact contact)
{
if (ModelState.IsValid)
{
db.Contacts.Add(contact);
db.SaveChanges();
return RedirectToAction("Index");
}
return View(contact);
}
全自动生成了各种文件之后,我们直接可以run一次。
我们把地址栏里的内容修改一下成 http://localhost:xxxxx/Contacts
就会转到如下的页面:
点击Create New
下面的页面和在 Code First 里面做的页面一模一样
直接转到了 Index 页面
这里有Edit,Detail,Delete
上述就是基本的MVC 操作起步了。
下面稍微再补充一个 [Authorize] Attribute
ASP.NET MVC项目中使用Authorize注解可以防止匿名用户访问
// GET: Contacts
[Authorize]
public ActionResult Index()
{
return View(db.Contacts.ToList());
}
这次我们再次直接输入 http://localhost:xxxxx/Contacts 会进入到一个Login的页面
或者也可以直接把[Authorize] 放在 Controller 层面,也就是把[Authorize]放在 public class ContactsController : Controller 前面,这样所有的Action就都需要Login的操作了。
在MVC中,我们要保护的资源不是文件夹目录,而是控制器和控制器方法,所以MVC提供了授权过滤器(Authorize Filter)对此进行保护,它是以数据注解的形式提供的。
但这里我有个问题:
我们直接加上[Authorize] 就会默认转至登录页面,这一步是在什么地方定义的呢?
在前面的HTTP POST请求中,我们多次在View和Controller中看下如下代码:
- View中调用了
Html.AntiForgeryToken()。 - Controller中的方法添加了
[ValidateAntiForgeryToken]注解。
这样看似一对的写法其实是为了避免引入跨站请求伪造(CSRF)攻击。
之所以很多大型网址也遭遇CSRF攻击,是因为CSRF攻击本身的流程就比较长,很多开发人员可能在几年的时间都没遇到CSRF攻击,因此对CSRF的认知比较模糊,没有引起足够的重视。
[HttpPost] // 表单会通过POST请求提交
[ValidateAntiForgeryToken]
public ActionResult Create([Bind(Include = "Id,FristName,LastName,Email,AcceptTerms")] Contact contact)
{
if (ModelState.IsValid)
{
db.Contacts.Add(contact);
db.SaveChanges();
return RedirectToAction("Index");
}
return View(contact);
}
在View中有对应的
@using (Html.BeginForm())
{
@Html.AntiForgeryToken()
使用developer tool 看看这个细节吧!
我们把hidden后面的antiforgerytoken 改写成别的
再点击保存就会有上面的页面
我们生成一个新的PrinceView还可以让画面更好看一点
同时添加上一个 HandleError 来处理
[HttpPost]
[ValidateAntiForgeryToken]
[HandleError(View = "PrinceView", ExceptionType = typeof(HttpAntiForgeryException))]
public ActionResult Edit([Bind(Include = "Id,FristName,LastName,Email,AcceptTerms")] Contact contact)
{
if (ModelState.IsValid)
{
db.Entry(contact).State = EntityState.Modified;
db.SaveChanges();
return RedirectToAction("Index");
}
return View(contact);
}
完成这步之后,去到WebConfig再完成一步骤:
还有一个需要注意的内容在于
想要看到Index的界面,需要输入 http://localhost:xxxxxx/Contacts 而不是点击原来的 Contacts
相关链接:
ASP.NET MVC 系列 浅谈数据注解和验证
ASP.NET MVC5 中的数据注解
第三篇 ASP.NET MVC快速入门之安全策略(MVC5+EF6)
