غنی بودن مستندات و مطالب متنوع و زیاد یه مزیت بسیار عالی برای توسعه دهندهها محسوب میشه ولی باید زمان شروع پروژه رو در نظر داشت که سابقه انگولار با این فریمورک جدید اصلا قابل مقایسه نیست. البته باید تا پختگی فریمورک صبر کرد اگر فریمورک با گفتههای اشاره شده منطبق باشه مطمئنا جای خود را باز خواهد کرد و به سرعت به بلوغ کامل خواهد رسید.
قابلیت مقدار دهی اولیهی بانک اطلاعاتی (data seeding) توسط اجرای کدهای Migrations و متد DbMigrationConfiguration.Seed آن، در حین انتقال از EF 6x به EF Core ناپدید شده بود که مجددا با ارائهی EF Core 2.1 به نحو کاملا متفاوتی توسط یک Fluent API، در متد OnModelCreating قابل تعریف و استفادهاست.
کلاسهای موجودیتهای مثال جاری
برای توضیح قابلیت جدید مقدار دهی اولیهی بانک اطلاعاتی در +EF Core 2.1، از کلاسهای موجودیتهای ذیل استفاده خواهیم کرد:
روش مقدار دهی اولیهی تک موجودیتها
اکنون فرض کنید قصد داریم جدول مجلات را مقدار دهی اولیه کنیم. برای اینکار خواهیم داشت:
چند نکته در اینجا حائز اهمیت هستند:
- ذکر صریح مقدار Id یک رکورد (هرچند نوع Id آن auto-increment است).
- عدم ذکر مقدار Publisher.
اکنون اگر توسط دستورات Migrations مانند dotnet ef migrations add init، کار تولید کدهای متناظر به روز رسانی بانک اطلاعاتی را بر اساس این کدها تولید کنیم، در قسمتی از آن، یک چنین خروجی را دریافت خواهیم کرد:
در ادامه اگر از روی این کلاسهای مهاجرتها، اسکریپت معادل نهایی اعمالی به بانک اطلاعاتی را توسط دستور dotnet ef migrations script تولید کنیم، یک چنین خروجی حاصل میشود:
همانطور که مشاهده میکنید، اگر نوع بانک اطلاعاتی ما SQL Server باشد، ابتدا ثبت دستی فیلدهای IDENTITY تنظیم میشود و سپس Id رکورد جدید را بر اساس مقداری که مشخص کردهایم، درج میکند.
توسط متد HasData امکان درج چندین رکورد با هم نیز وجود دارد:
البته باید دقت داشت که متد HasData، برای کار با یک تک موجودیت، طراحی شدهاست و توسط آن نمیتوان در چندین جدول بانک اطلاعاتی، مقادیری را درج کرد.
در مورد دادههای نالنپذیر چطور؟
در مثال فوق اگر تنظیمات خاصیت Publisherای را که نال وارد کردیم، نالنپذیر تعریف کنیم:
و مجددا دستورات تولید کلاسهای Migrations را صادر کنیم، اینبار خطای واضح زیر حاصل خواهد شد:
همین پیام خطا با عدم ذکر صریح مقدار Id نیز تولید میشود. هرچند Id، یک فیلد auto-increment است، اما چون شرط IsRequired در مورد آن برقرار است، شامل بررسی فیلدهای نالنپذیر نیز میشود. به همین جهت ذکر آن در متد HasData اجباری است.
امکان استفادهی از Anonymous Types در متد HasData
فرض کنید برای کلاس موجودیت خود یک سازنده را نیز تعریف کردهاید:
چون در متد HasData ذکر Id موجودیت، اجباری است، دیگر نمیتوان یک چنین تعاریفی را ارائه داد:
برای رفع یک چنین مشکلاتی، امکان استفادهی از anonymous types نیز در متد HasData پیشبینی شدهاست. در این حالت میتوان بجای وهله سازی مستقیم شیء Magazine، یک anonymous type را وهله سازی کرد و در آن MagazineId را نیز ذکر کرد؛ بدون اینکه نگران این باشیم آیا این خاصیت عمومی است، خصوصی است و یا ... حتی تعریف شدهاست یا خیر!
که حاصل آن تولید یک چنین کد مهاجرتی است:
و سبب درج صحیح مقادیر فیلدهای یک رکورد جدول Magazines میشود.
حالت دیگر استفادهی از این قابلیت، کار با خواصی هستند که private set میباشند. فرض کنید کلاس موجودیت Magazine را به صورت زیر تغییر دادهاید:
که در آن Id اینبار از نوع Guid است و در سازندهی کلاس مقدار دهی میشود و همچنین خواص این موجودیت به صورت private set تعریف شدهاند. در این حالت اگر متد HasData این موجودیت را به صورت زیر تعریف کنیم:
هر بار که دستورات Migrations اجرا میشوند، یک Guid جدید به صورت خودکار ایجاد خواهد شد که سبب میشود، مقدار آغازین پیشین، از بانک اطلاعاتی حذف و مقدار جدید آن با یک Guid جدید، درج شود. به همین جهت نیاز است Guid را حتما به صورت دستی و مشخص، در متد HasData وارد کرد که چنین کاری با توجه به تعریف کلاس موجودیت فوق، مسیر نیست. بنابراین در اینجا نیز میتوان از یک anonymous type استفاده کرد:
مقدار دهی اولیهی اطلاعات به هم مرتبط
همانطور که پیشتر نیز ذکر شد، متد HasData تنها با یک تک موجودیت کار میکند و روش کار آن همانند کار با DbSetها نیست. به همین جهت نمیتوان اشیاء به هم مرتبط را توسط آن در بانک اطلاعاتی درج کرد. بنابراین برای درج اطلاعات یک مجله و مقالات مرتبط با آن، ابتدا باید مجله را ثبت کرد و سپس بر اساس Id آن مجله، کلید خارجی مقالات را به صورت جداگانهای مقدار دهی نمود:
پیشتر یک Magazine را با Id مساوی 1 ثبت کرده بودیم. اکنون این Id را در اینجا به صورت یک کلید خارجی، جهت درج یک مقالهی جدیدی استفاده میکنیم. حاصل آن یک چنین مهاجرتی است:
در اینجا چون PublishDate را ذکر نکردهایم (و DateTime نیز یک value type است)، کمترین مقدار ممکن را برای آن تنظیم کردهاست.
مقدار دهی اولیهی Owned Entities
complex types در EF 6x با مفهوم دیگری به نام owned types در EF Core جایگزین شدهاند:
در اینجا اطلاعات مربوط به Publisher، در طی یک عملیات Refactoring، تبدیل به یک کلاس مستقل شدهاند و سپس در تعریف کلاس موجودیت مجله، مورد استفاده قرار گرفتهاند. این کلاس جدید، دارای Id نیست.
متد HasData تنها اجازهی کار با یک نوع کلاس را میدهد. به همین جهت یکبار باید Magazine را بدون Publisher ثبت کرد. سپس در طی ثبتی دیگر میتوان نوع Publisher را توسط یک anonymous type متصل به Id مجلهی ثبت شده، درج کرد (متد OwnsOne کار ارتباط را برقرار میکند). علت استفادهی از anonymous type نیز درج Id ای است که در کلاس Publisher وجود خارجی ندارد.
این دو دستور، خروجی Migrations زیر را تولید میکنند:
محل صحیح اجرای Migrations در برنامههای ASP.NET Core 2x
زمانیکه متد ()context.Database.Migrate را اجرا میکنید، تمام مهاجرتهای اعمال نشده را به بانک اطلاعاتی اعمال میکند که این مورد شامل اجرای دستورات HasData نیز هست. روش فراخوانی این متد در ASP.NET Core 1x به صورت زیر در متد Configure کلاس Startup بود (و البته هنوز هم کار میکند):
متد applyPendingMigrations، کار وهله سازی IUnitOfWork را انجام میدهد. سپس متد Migrate آنرا اجرا میکند، تا تمام Migartions تولید شده، اما اعمال نشدهی به بانک اطلاعاتی به صورت خودکار به آن اعمال شوند. متد Migrate نیز به صورت زیر تعریف میشود:
روش بهتر اینکار در ASP.NET Core 2x، انتقال متد applyPendingMigrations به بالاترین سطح ممکن در برنامه، در فایل program.cs و پیش از اجرای متد Configure کلاس Startup است. به این ترتیب در برنامه، قسمتهایی که پیش از متد Configure شروع به کار میکنند و نیاز به دسترسی به بانک اطلاعاتی را دارند، با صدور پیام خطایی، سبب خاتمهی برنامه نخواهند شد:
کلاسهای موجودیتهای مثال جاری
برای توضیح قابلیت جدید مقدار دهی اولیهی بانک اطلاعاتی در +EF Core 2.1، از کلاسهای موجودیتهای ذیل استفاده خواهیم کرد:
public class Magazine
{
public int MagazineId { get; set; }
public string Name { get; set; }
public string Publisher { get; set; }
public List<Article> Articles { get; set; }
}
public class Article
{
public int ArticleId { get; set; }
public string Title { get; set; }
public DateTime PublishDate { get; set; }
public int MagazineId { get; set; }
public Author Author { get; set; }
public int? AuthorId { get; set; }
}
public class Author
{
public int AuthorId { get; set; }
public string Name { get; set; }
public List<Article> Articles { get; set; }
} روش مقدار دهی اولیهی تک موجودیتها
اکنون فرض کنید قصد داریم جدول مجلات را مقدار دهی اولیه کنیم. برای اینکار خواهیم داشت:
protected override void OnModelCreating (ModelBuilder modelBuilder)
{
modelBuilder.Entity<Magazine>().HasData(new Magazine { MagazineId = 1, Name = "DNT Magazine" });
} - ذکر صریح مقدار Id یک رکورد (هرچند نوع Id آن auto-increment است).
- عدم ذکر مقدار Publisher.
اکنون اگر توسط دستورات Migrations مانند dotnet ef migrations add init، کار تولید کدهای متناظر به روز رسانی بانک اطلاعاتی را بر اساس این کدها تولید کنیم، در قسمتی از آن، یک چنین خروجی را دریافت خواهیم کرد:
migrationBuilder.InsertData(
table: "Magazines",
columns: new[] { "MagazineId", "Name", "Publisher" },
values: new object[] { 1, "DNT Magazine", null }); set IDENTITY_INSERT ON
INSERT INTO "Magazines" ("MagazineId", "Name", "Publisher") VALUES (1, 'DNT Magazine', NULL); توسط متد HasData امکان درج چندین رکورد با هم نیز وجود دارد:
modelBuilder.Entity<Magazine>()
.HasData(new Magazine{ MagazineId=2, Name="This Mag" },
new Magazine{ MagazineId=3, Name="That Mag" }
); البته باید دقت داشت که متد HasData، برای کار با یک تک موجودیت، طراحی شدهاست و توسط آن نمیتوان در چندین جدول بانک اطلاعاتی، مقادیری را درج کرد.
در مورد دادههای نالنپذیر چطور؟
در مثال فوق اگر تنظیمات خاصیت Publisherای را که نال وارد کردیم، نالنپذیر تعریف کنیم:
modelBuilder.Entity<Magazine>().Property(m=>m.Publisher).IsRequired();
"The seed entity for entity type 'Magazine' cannot be added because there was no value provided for the required property 'Publisher'."
امکان استفادهی از Anonymous Types در متد HasData
فرض کنید برای کلاس موجودیت خود یک سازنده را نیز تعریف کردهاید:
public Magazine(string name, string publisher)
{
Name=name;
Publisher=publisher;
} modelBuilder.Entity<Magazine>().HasData(new Magazine("DNT Magazine", "1105 Media")); modelBuilder.Entity<Magazine>().HasData(new {MagazineId=1, Name="DNT Mag", Publisher="1105 Media"}); migrationBuilder.InsertData(
table: "Magazines",
columns: new[] { "MagazineId", "Name", "Publisher" },
values: new object[] { 1, "DNT Mag", "1105 Media" }); حالت دیگر استفادهی از این قابلیت، کار با خواصی هستند که private set میباشند. فرض کنید کلاس موجودیت Magazine را به صورت زیر تغییر دادهاید:
public class Magazine
{
public Magazine(string name, string publisher)
{
Name=name;
Publisher=publisher;
MagazineId=Guid.NewGuid();
}
public Guid MagazineId { get; private set; }
public string Name { get; private set; }
public string Publisher { get; private set; }
public List<Article> Articles { get; set; }
} modelBuilder.Entity<Magazine>().HasData(new Magazine("DNT Mag", "1105 Media"); var mag1=new {MagazineId= new Guid("0483b59c-f7f8-4b21-b1df-5149fb57984e"), Name="DNT Mag", Publisher="1105 Media"};
modelBuilder.Entity<Magazine>().HasData(mag1); مقدار دهی اولیهی اطلاعات به هم مرتبط
همانطور که پیشتر نیز ذکر شد، متد HasData تنها با یک تک موجودیت کار میکند و روش کار آن همانند کار با DbSetها نیست. به همین جهت نمیتوان اشیاء به هم مرتبط را توسط آن در بانک اطلاعاتی درج کرد. بنابراین برای درج اطلاعات یک مجله و مقالات مرتبط با آن، ابتدا باید مجله را ثبت کرد و سپس بر اساس Id آن مجله، کلید خارجی مقالات را به صورت جداگانهای مقدار دهی نمود:
modelBuilder.Entity<Article>().HasData(new Article { ArticleId = 1, MagazineId = 1, Title = "EF Core 2.1 Query Types"}); var mag1=new {MagazineId= new Guid("0483b59c-f7f8-4b21-b1df-5149fb57984e"), Name="DNT Mag", Publisher="1105 Media"};
modelBuilder.Entity<Magazine>().HasData(mag1); مقدار دهی اولیهی Owned Entities
complex types در EF 6x با مفهوم دیگری به نام owned types در EF Core جایگزین شدهاند:
public class Publisher
{
public string Name { get; set; }
public int YearFounded { get; set; }
}
public class Magazine
{
public int MagazineId { get; set; }
public string Name { get; set; }
public Publisher Publisher { get; set; }
public List<Article> Articles { get; set; }
} modelBuilder.Entity<Magazine>().HasData (new Magazine { MagazineId = 1, Name = "DNT Magazine" });
modelBuilder.Entity<Magazine>().OwnsOne (m => m.Publisher)
.HasData (new { Name = "1105 Media", YearFounded = 2006, MagazineId=1 }); این دو دستور، خروجی Migrations زیر را تولید میکنند:
migrationBuilder.InsertData(
table: "Magazines",
columns: new[] { "MagazineId", "Name", "Publisher_Name", "Publisher_YearFounded" },
values: new object[] { 1, "DNT Magazine", "1105 Media", 2006 }); محل صحیح اجرای Migrations در برنامههای ASP.NET Core 2x
زمانیکه متد ()context.Database.Migrate را اجرا میکنید، تمام مهاجرتهای اعمال نشده را به بانک اطلاعاتی اعمال میکند که این مورد شامل اجرای دستورات HasData نیز هست. روش فراخوانی این متد در ASP.NET Core 1x به صورت زیر در متد Configure کلاس Startup بود (و البته هنوز هم کار میکند):
namespace EFCoreMultipleDb.Web
{
public class Startup
{
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
applyPendingMigrations(app);
// ...
}
private static void applyPendingMigrations(IApplicationBuilder app)
{
var scopeFactory = app.ApplicationServices.GetRequiredService<IServiceScopeFactory>();
using (var scope = scopeFactory.CreateScope())
{
var uow = scope.ServiceProvider.GetService<IUnitOfWork>();
uow.Migrate();
}
}
}
} namespace EFCoreMultipleDb.DataLayer.SQLite.Context
{
public class SQLiteDbContext : DbContext, IUnitOfWork
{
// ...
public void Migrate()
{
this.Database.Migrate();
}
}
} public static void Main(string[] args)
{
var host = BuildWebHost(args);
using (var scope = host.Services.CreateScope())
{
var context = scope.ServiceProvider.GetRequiredService<yourDBContext>();
context.Database.Migrate();
}
host.Run();
} 
پیشنیاز
- نقشه راه «آزمون واحد در دات نت»
- مطلب «طراحی و پیاده سازی ServiceLayer به همراه خودکارسازی Business Validationها»
در این مطلب قصد داریم تست ServiceLayer را به جای تست درون حافظهای که با ابزارهای Mocking در قالب Unit Testing انجام میگیرد، به کمک یک دیتابیس واقعی سبک وزن در قالب Integration Testing انجام دهیم.
قدم اول
یک پروژه تست را ایجاد کنید؛ بهتر است برای نظم دهی به ساختار Solution، پروژههای تست را در پوشه ای به نام Tests نگهداری کنید.
قدم دوم
بستههای نیوگت زیر را نصب کنید:
PM> install-package NUnit PM> install-package Shouldly PM> install-package EntityFramework PM> install-package FakeHttpContext
قدم سوم
نسخه دیتابیس انتخابی برای تست خودکار، LocalDB می باشد. لازم است در ابتدای اجرای تستها دیتابیس مربوط به Integration Test ایجاد شده و بعد از اتمام نیز دیتابیس مورد نظر حذف شود؛ برای این منظور از کلاس TestSetup استفاده خواهیم کرد.
[SetUpFixture]
public class TestSetup
{
[OneTimeSetUp]
public void SetUpDatabase()
{
DestroyDatabase();
CreateDatabase();
}
[OneTimeTearDown]
public void TearDownDatabase()
{
DestroyDatabase();
}
//...
} با توجه به اینکه کلاس TestSetup با [SetUpFixture] تزئین شده است، Nunit قبل از اجرای تستها سراغ این کلاس آمده و متد SetUpDatebase را به دلیل تزئین شدن با [OneTimeSetUp]، قبل از اجرای تستها و متد TearDownDatabase را بدلیل تزئین شدن با [OneTimeTearDown] بعد از اجرای تمام تستها، اجرا خواهد کرد.
متد CreateDatabase
private static void CreateDatabase()
{
ExecuteSqlCommand(Master, string.Format(SqlResource.DatabaseScript, FileName));
//Use T-Sql Scripts For Create Database
//ExecuteSqlCommand(MyAppTest, SqlResources.V1_0_0);
var migration =
new MigrateDatabaseToLatestVersion<ApplicationDbContext, DataLayer.Migrations.Configuration>();
migration.InitializeDatabase(new ApplicationDbContext());
}
private static SqlConnectionStringBuilder Master =>
new SqlConnectionStringBuilder
{
DataSource = @"(LocalDB)\MSSQLLocalDB",
InitialCatalog = "master",
IntegratedSecurity = true
};
private static string FileName => Path.Combine(
Path.GetDirectoryName(
Assembly.GetExecutingAssembly().Location),
"MyAppTest.mdf"); برای مدیریت محل ذخیره سازی فایلهای دیتابیس، ابتدا دستورات ایجاد «دیتابیس تست» را برروی دیتابیس master اجرا میکنیم و در ادامه برای ساخت جداول از مکانیزم Migration خود EF استفاده شده است.
لازم است رشته اتصال به این دیتابیس ایجاد شده را در فایل App.config پروژه تست قرار دهید:
<connectionStrings> <add name="DefaultConnection" providerName="System.Data.SqlClient" connectionString="Data Source=(LocalDB)\MSSQLLocalDb;Initial Catalog=MyAppTest;Integrated Security=True;" /> </connectionStrings>
متد DestroyDatabase
private static void DestroyDatabase()
{
var fileNames = ExecuteSqlQuery(Master, SqlResource.SelecDatabaseFileNames,
row => (string)row["physical_name"]);
if (!fileNames.Any()) return;
ExecuteSqlCommand(Master, SqlResource.DetachDatabase);
fileNames.ForEach(File.Delete);
} در این متد ابتدا آدرس فایلهای مرتبط با «دیتابیس تست» واکشی شده و در ادامه دستورات Detach دیتابیس انجام شده و فایلهای مرتبط حذف خواهند شد. فایلهای دیتابیس در مسیری شبیه به آدرس نشان داده شدهی در شکل زیر ذخیره خواهند شد.
قدم چهارم
برای جلوگیری از تداخل بین تستها لازم است تک تک تستها از هم ایزوله باشند؛ یکی از راه حلهای موجود، استفاده از تراکنشها میباشد. برای این منظور امکان AutoRollback را به صورت خودکار به متدهای تست با استفاده از Attribute زیر اعمال خواهیم کرد:
public class AutoRollbackAttribute : Attribute, ITestAction
{
private TransactionScope _scope;
public void BeforeTest(ITest test)
{
_scope = new TransactionScope(TransactionScopeOption.RequiresNew,new TransactionOptions {IsolationLevel = IsolationLevel.Snapshot});
}
public void AfterTest(ITest test)
{
_scope?.Dispose();
_scope = null;
}
public ActionTargets Targets => ActionTargets.Test;
} متدهای BeforTest و AfterTest به ترتیب قبل و بعد از اجرای متدهای تست تزئین شده با این Attribute اجرا خواهند شد.
در مواقعی هم که به HttpConext نیاز دارید، میتوانید از کتابخانه FakeHttpContext بهره ببرید. برای این مورد هم میتوان Attributeای را به مانند AutoRollback در نظر گرفت.
public class HttpContextAttribute:Attribute,ITestAction
{
private FakeHttpContext.FakeHttpContext _httpContext;
public void BeforeTest(ITest test)
{
_httpContext = new FakeHttpContext.FakeHttpContext();
}
public void AfterTest(ITest test)
{
_httpContext?.Dispose();
_httpContext = null;
}
public ActionTargets Targets => ActionTargets.Test;
} کاری که FakeHttpContext انجام میدهد، مقدار دهی HttpContext.Current با یک پیاده سازی ساختگی میباشد.
قدم پنجم
به عنوان مثال اگر بخواهیم برای سرویس «گروه کاربری»، Integration Test بنویسیم، به شکل زیر عمل خواهیم کرد:
namespace MyApp.IntegrationTests.ServiceLayer
{
[TestFixture]
[AutoRollback]
[HttpContext]
public class RoleServiceTests
{
private IRoleApplicationService _roleService;
[SetUp]
public void Init()
{
}
[TearDown]
public void Clean()
{
}
[OneTimeSetUp]
public void SetUp()
{
_roleService = IoC.Resolve<IRoleApplicationService>();
using (var uow = IoC.Resolve<IUnitOfWork>())
{
RoleInitialDataBuilder.Build(uow);
}
}
[OneTimeTearDown]
public void TearDown()
{
}
[Test]
[TestCase("Role1")]
public void Should_Create_New_Role(string role)
{
var viewModel = new RoleCreateViewModel
{
Name = role
};
_roleService.Create(viewModel);
using (var context = IoC.Resolve<IUnitOfWork>())
{
var user = context.Set<Role>().FirstOrDefault(a => a.Name == role);
user.ShouldNotBeNull();
}
}
[Test]
public void Should_Not_Create_New_Role_With_Admin_Name()
{
var viewModel = new RoleCreateViewModel
{
Name = "Admin"
};
Assert.Throws<DbUpdateException>(() => _roleService.Create(viewModel));
}
[Test]
public void Should_AdminRole_Exists()
{
using (var context = IoC.Resolve<IUnitOfWork>())
{
var user = context.Set<Role>().FirstOrDefault(a => a.Name == "Admin");
user.ShouldNotBeNull();
}
}
[Test]
public void Should_Not_Create_New_Role_Without_Name()
{
Assert.Throws<ValidationException>(() => _roleService.Create(new RoleCreateViewModel { Name = null }));
}
}
} با این خروجی:
کدهای کامل این قسمت را میتوانید از اینجا دریافت کنید.
ابتدا بسته زیر را از طریق nuget نصب نمایید:
dotnet add package MongoDB.Driver
سپس مدلهای زیر را ایجاد نمایید:
public class BaseModel
{
public BaseModel()
{
CreationDate=DateTime.Now;
}
public string Id { get; set; }
public DateTime CreationDate { get; set; }
public bool IsRemoved { get; set; }
public DateTime? ModificationDate { get; set; }
}
این مدل شامل یک کلاس پایه برای id,CreationDate,ModificationDate,IsRemoved میباشد که بسیار شبیه مدلهایی است که عموما در EntityFramework تعریف میکنیم.
برای اینکه فیلد Id به صورت objectId ایجاد شود ولی به صورت رشتهای استفاده شود ابتدا ویژگی BsonId را در بالای آن تعریف کرده تا به عنوان شناسه یکتا سند شناخته شود و سپس با استفاده از ویژگی BsonRepresentation اعلام میکنیم که کار تبدیل به رشته و بلعکس آن به صورت خودکار در پشت صحنه صورت بگیرد:
public class BaseModel
{
[BsonId]
[BsonRepresentation((BsonType.ObjectId))]
public string Id { get; set; }
} البته این حالت برای زمانی مناسب است که ما
در استفاده از ویژگیها محدودیتی نداشته باشیم؛ ولی در بسیاری از نرم افزارها که از
معماریهای چند لایه مانند لایه پیازی استفاده میشود استفاده از این خصوصیتها یعنی اعمال کارکرد کتابخانه بالاتر بر روی لایههای زیرین که هسته نرم افزار
شناخته میشوند که صحیح نبوده و باید توسط لایههای بالاتر این تغییرات اعمال شوند که
میتواند از طریق کلاس این کار را انجام دهید. به ازای هر مدل که نیاز به تغییرات
دارد، یک حالت جدید تعریف شده و در ابتدای برنامه در فایل Program.cs یا قبل از دات نت 6 در Startup.cs صدا زده میشوند.
BsonClassMap.RegisterClassMap<BaseModel>(map =>
{
map.SetIdMember(map.GetMemberMap(x=>x.Id));
map.GetMemberMap(x => x.Id)
.SetSerializer(new StringSerializer(BsonType.ObjectId));
});
یک نکته بسیار مهم: کلاس و متد BsonClassMap . RegisterClassMap قادر به اعمال تغییرات بر روی خصوصیتهای کلاس والد نیستند و آن خصوصیات حتما باید در آن کلاسی که آن را کانفیگ میکنید، تعریف شده باشند؛ یعنی چنین چیزی که در کد زیر میبینید در زمان اجرا با یک خطا مواجه خواهد شد:
public class Employee : BaseModel
{
public string FirstName { get; set; }
public string LastName { get; set; }
}
//=================
BsonClassMap.RegisterClassMap<Employee >(map =>
{
map.SetIdMember(map.GetMemberMap(x=>x.Id));
map.GetMemberMap(x => x.Id)
.SetSerializer(new StringSerializer(BsonType.ObjectId));
});
روش استفاده از مونگو در asp.net core به صورت زیر بسیار متداول میباشد که در قسمتهای پیشین هم در این مورد نوشته بودیم:
MongoDbContext
public interface IMongoDbContext
{
IMongoCollection<TEntity> GetCollection<TEntity>();
}
public class MongoDbContext : IMongoDbContext
{
private readonly IMongoClient _client;
private readonly IMongoDatabase _database;
public MongoDbContext(string databaseName,string connectionString)
{
var settings = MongoClientSettings.FromUrl(new MongoUrl(connectionString));
_client = new MongoClient(settings);
_database = _client.GetDatabase(databaseName);
}
public IMongoCollection<TEntity> GetCollection<TEntity>()
{
return _database.GetCollection<TEntity>(typeof(TEntity).Name.ToLower() + "s");
}
} سپس از طریق کد زیر IMongoDbContext را به سیستم تزریق وابستگیها معرفی میکنیم. الگوی استفاده شدهی در اینجا بر خلاف نسخههای sql که عموما به صورت AddScoped تعریف میشدند، در اینجا به صورت AddSingleton تعریف کردیم و نحوه پیاده سازی آن را نیز در طرف سمت راست به صورت صریح اعلام کردیم:
public static class MongoDbContextService
{
public static void AddMongoDbContext(this IServiceCollection services,string databaseName,string connectionString)
{
services.AddSingleton<IMongoDbContext>(serviceProvider => new MongoDbContext(databaseName, connectionString));
}
}
//===============
Program.cs
builder.Services.AddMongoDbContext("bookstore", "mongodb://localhost:27017");
پیاده سازی SoftDelete در مونگو
در مونگو چیزی تحت عنوان Global Query Filter نداریم که تمام کوئری هایی که به سمت دیتابیس ارسال میشوند، توسط کانتکس اطلاح شوند؛ بدین جهت برای پیاده سازی این خصوصیت میتوان اینترفیسی با نام <IRepository<T را به شکل زیر طراحی نماییم:
public interface IRepository<T> where T : BaseModel
{
IMongoCollection<T> GetCollection();
IMongoQueryable<T> GetFilteredCollection();
}
public class Repository<T> : IRepository<T> where T:BaseModel
{
private IMongoDbContext _mongoDbContext;
public Repository(IMongoDbContext mongoDbContext)
{
_mongoDbContext = mongoDbContext;
}
public IMongoCollection<T> GetCollection()
{
return _mongoDbContext.GetCollection<T>();
}
public IMongoQueryable<T> GetFilteredCollection()
{
var query= _mongoDbContext.GetCollection<T>().AsQueryable();
//================= Global Query Filters ====================
//Filter 1
query=query.Where(x => x.RemovedAt.HasValue == false);
//==============================================================
return query;
}
} این کلاس یا اینترفیس شامل دو متد هستند که کلاس جنریک آنها باید از BaseModel ارث بری کرده باشد و اولین متد، تنها یک کالکشن بدون هیچگونه فیلتری است که میتواند نقش متد IgnoreQueryFilters را بازی کند و دیگری GetFilteredCollection است که در این متد ابتدا کالکشنی دریافت شده و سپس آن را به حالت کوئری تغییر داده و فیلترهای مورد نظر، مانند حذف منطقی را پیاده سازی میکنیم:
public interface IRepository<T> where T : BaseModel
{
IMongoCollection<T> GetCollection();
IMongoQueryable<T> GetFilteredCollection();
}
public class Repository<T> : IRepository<T> where T:BaseModel
{
private IMongoDbContext _mongoDbContext;
public Repository(IMongoDbContext mongoDbContext)
{
_mongoDbContext = mongoDbContext;
}
public IMongoCollection<T> GetCollection()
{
return _mongoDbContext.GetCollection<T>();
}
public IMongoQueryable<T> GetFilteredCollection()
{
var query= _mongoDbContext.GetCollection<T>().AsQueryable();
//================= Global Query Filters ====================
//Filter 1
query=query.Where(x => x.RemovedAt.HasValue == false);
//==============================================================
return query;
}
}
اصلاح تاریخ ویرایش در مدل
در EF به لطف dbset و همچنین ChangeTracking امکان شناسایی حالتها وجود دارد و میتوانید در متدی مانند saveChanges مقدار تاریخ ویرایش را تنظیم نمود. برای مدلهای منگو چنین چیزی وجود ندارد و به همین دلیل چند روش زیر پیشنهاد میگردد:
یک. استفاده از اینترفیس INotifyPropertyChanged یا جهت حذف کدهای تکراری نیز از الگوی AOP بهره بگیرید.
دو. استفاده از یک <Repository<T همانند بالا که شامل متدهای داخلی Update و Delete هستند که در آنجا میتوانید این مقادیر را به صورت مستقیم تغییر دهید.
یکی از مراحلی که پس از ارتقاء یک سایت به HTTPS باید صورت گیرد، به روز رسانی آدرسهای قدیمی درج شدهی در صفحات مختلف، از HTTP به HTTPS است؛ وگرنه با خطای «قسمتی از صفحه امن نیست» توسط مرورگر مواجه خواهیم شد:
روشهای زیادی برای مدیریت این مساله وجود دارند؛ مانند استفاده از ماژولهای URL Rewrite برای بازنویسی آدرسهای نهایی صفحهی در حال رندر و یا ... به روز رسانی مستقیم بانک اطلاعاتی، یافتن تمام فیلدهای رشتهای ممکن در تمام جداول موجود و سپس اعمال تغییرات.
یافتن لیست تمام جداول قابل مدیریت توسط Entity framework
در ابتدا میخواهیم لیست پویای تمام جداول مدیریت شدهی توسط EF را پیدا کنیم. از این جهت که نمیخواهیم به ازای هر کدام یک کوئری جداگانه بنویسیم.
در اینجا متد GetAllDbSets، به صورت پویا لیست DbSetها را به همراه نوع جنریک آنها، بازگشت میدهد. با استفاده از این لیست میتوان رکوردهای تمام جداول را واکشی و سپس تغییر داد.
یافتن فیلدهای رشتهای رکوردهای تمام جداول و سپس به روز رسانی آنها
میخواهیم متدی را طراحی کنیم که در آن لیستی از یافتنها و جایگزینیها قابل تعیین باشد. به همین جهت مدل زیر را تعریف میکنیم:
در اینجا خاصیت Comparison امکان جستجو و جایگزینی غیرحساس به حروف کوچک و بزرگ را نیز میسر میکند.
سپس متدی که کار یافتن تمام فیلدهای رشتهای و سپس جایگزین کردن آنها را انجام میدهد به صورت زیر خواهد بود:
توضیحات:
- در اینجا using (var uow = new MyContext()) را زیاد مشاهده میکنید. علت اینجا است که اگر تنها با یک Context کار کنیم، EF تمام تغییرات و تمام رکوردهای وارد شدهی به آنرا کش میکند و مصرف حافظهی برنامه با توجه به خواندن تمام رکوردهای بانک اطلاعاتی توسط آن، ممکن است به چند گیگابایت برسد. به همین جهت از Contextهایی با طول عمر کوتاه استفاده شدهاست تا میزان مصرف RAM این متد سبب کرش برنامه نشود.
- در ابتدای کار توسط متد GetAllDbSets که به Context اضافه کردیم، تعداد DbSetهای موجود را پیدا میکنیم تا بتوان بر روی آنها حلقهای را تشکیل داد و به ازای هر کدام یک (()using (var uow = new MyContext را تشکیل داد.
- سپس با استفاده از نوع DbSet که توسط خاصیت dbSetResult.DbSetType در دسترس است، خواص رشتهای ممکن این DbSet یافت میشوند.
- در ادامه dbSetResult.DbSet یک Data Reader را به صورت پویا بر روی DbSet جاری باز کرده و تمام رکوردهای این DbSet را یک به یک بازگشت میدهد.
- در اینجا با استفاده از Reflection، از رکورد جاری، مقادیر خواص رشتهای آن دریافت شده و سپس کار جستجو و جایگزینی انجام میشود.
- در آخر هم فراخوانی uow.SaveChanges کار ثبت تغییرات صورت گرفته را انجام میدهد.
متدی برای جایگزینی غیرحساس به حروف بزرگ و کوچک
متد استاندارد Replace رشتهها، حساس به حروف بزرگ و کوچک است. یک نمونهی عمومیتر را که در آن بتوان StringComparison.OrdinalIgnoreCase را تعیین کرد، در ذیل مشاهده میکنید که از آن در متد ReplaceAllStringsAcrossTables فوق استفاده شدهاست:
کدهای کامل این مطلب را از اینجا میتوانید دریافت کنید: EFReplaceAll.zip
روشهای زیادی برای مدیریت این مساله وجود دارند؛ مانند استفاده از ماژولهای URL Rewrite برای بازنویسی آدرسهای نهایی صفحهی در حال رندر و یا ... به روز رسانی مستقیم بانک اطلاعاتی، یافتن تمام فیلدهای رشتهای ممکن در تمام جداول موجود و سپس اعمال تغییرات.
یافتن لیست تمام جداول قابل مدیریت توسط Entity framework
در ابتدا میخواهیم لیست پویای تمام جداول مدیریت شدهی توسط EF را پیدا کنیم. از این جهت که نمیخواهیم به ازای هر کدام یک کوئری جداگانه بنویسیم.
using System;
using System.Collections.Generic;
using System.Data.Entity;
using System.Linq;
using EFReplaceAll.Models;
namespace EFReplaceAll.Config
{
public class DbSetInfo
{
public IQueryable<object> DbSet { set; get; }
public Type DbSetType { set; get; }
}
public class MyContext : DbContext
{
public DbSet<Product> Products { set; get; }
public DbSet<Category> Categories { set; get; }
public DbSet<User> Users { set; get; }
public MyContext()
: base("Connection1")
{
this.Database.Log = sql => Console.Write(sql);
}
public IList<DbSetInfo> GetAllDbSets()
{
return this.GetType()
.GetProperties()
.Where(p => p.PropertyType.IsGenericType &&
p.PropertyType.GetGenericTypeDefinition() == typeof(DbSet<>))
.Select(p => new DbSetInfo
{
DbSet = (IQueryable<object>)p.GetValue(this, null),
DbSetType = p.PropertyType.GetGenericArguments().First()
})
.ToList();
}
}
} یافتن فیلدهای رشتهای رکوردهای تمام جداول و سپس به روز رسانی آنها
میخواهیم متدی را طراحی کنیم که در آن لیستی از یافتنها و جایگزینیها قابل تعیین باشد. به همین جهت مدل زیر را تعریف میکنیم:
using System;
namespace EFReplaceAll.Utils
{
public class ReplaceOp
{
public string ToFind { set; get; }
public string ToReplace { set; get; }
public StringComparison Comparison { set; get; }
}
} سپس متدی که کار یافتن تمام فیلدهای رشتهای و سپس جایگزین کردن آنها را انجام میدهد به صورت زیر خواهد بود:
using System.Collections.Generic;
using System.Linq;
using EFReplaceAll.Config;
namespace EFReplaceAll.Utils
{
public static class UpdateDbContextContents
{
public static void ReplaceAllStringsAcrossTables(IList<ReplaceOp> replaceOps)
{
int dbSetsCount;
using (var uow = new MyContext())
{
dbSetsCount = uow.GetAllDbSets().Count;
}
for (var i = 0; i < dbSetsCount; i++)
{
using (var uow = new MyContext()) // using a new context each time to free resources quickly.
{
var dbSetResult = uow.GetAllDbSets()[i];
var stringProperties = dbSetResult.DbSetType.GetProperties()
.Where(p => p.PropertyType == typeof(string))
.ToList();
var dbSetEntities = dbSetResult.DbSet;
var haveChanges = false;
foreach (var entity in dbSetEntities)
{
foreach (var stringProperty in stringProperties)
{
var oldPropertyValue = stringProperty.GetValue(entity, null) as string;
if (string.IsNullOrWhiteSpace(oldPropertyValue))
{
continue;
}
var newPropertyValue = oldPropertyValue;
foreach (var replaceOp in replaceOps)
{
newPropertyValue = newPropertyValue.ReplaceString(replaceOp.ToFind, replaceOp.ToReplace, replaceOp.Comparison);
}
if (oldPropertyValue != newPropertyValue)
{
stringProperty.SetValue(entity, newPropertyValue, null);
haveChanges = true;
}
}
}
if (haveChanges)
{
uow.SaveChanges();
}
}
}
}
}
} - در اینجا using (var uow = new MyContext()) را زیاد مشاهده میکنید. علت اینجا است که اگر تنها با یک Context کار کنیم، EF تمام تغییرات و تمام رکوردهای وارد شدهی به آنرا کش میکند و مصرف حافظهی برنامه با توجه به خواندن تمام رکوردهای بانک اطلاعاتی توسط آن، ممکن است به چند گیگابایت برسد. به همین جهت از Contextهایی با طول عمر کوتاه استفاده شدهاست تا میزان مصرف RAM این متد سبب کرش برنامه نشود.
- در ابتدای کار توسط متد GetAllDbSets که به Context اضافه کردیم، تعداد DbSetهای موجود را پیدا میکنیم تا بتوان بر روی آنها حلقهای را تشکیل داد و به ازای هر کدام یک (()using (var uow = new MyContext را تشکیل داد.
- سپس با استفاده از نوع DbSet که توسط خاصیت dbSetResult.DbSetType در دسترس است، خواص رشتهای ممکن این DbSet یافت میشوند.
- در ادامه dbSetResult.DbSet یک Data Reader را به صورت پویا بر روی DbSet جاری باز کرده و تمام رکوردهای این DbSet را یک به یک بازگشت میدهد.
- در اینجا با استفاده از Reflection، از رکورد جاری، مقادیر خواص رشتهای آن دریافت شده و سپس کار جستجو و جایگزینی انجام میشود.
- در آخر هم فراخوانی uow.SaveChanges کار ثبت تغییرات صورت گرفته را انجام میدهد.
متدی برای جایگزینی غیرحساس به حروف بزرگ و کوچک
متد استاندارد Replace رشتهها، حساس به حروف بزرگ و کوچک است. یک نمونهی عمومیتر را که در آن بتوان StringComparison.OrdinalIgnoreCase را تعیین کرد، در ذیل مشاهده میکنید که از آن در متد ReplaceAllStringsAcrossTables فوق استفاده شدهاست:
using System;
using System.Text;
namespace EFReplaceAll.Utils
{
public static class StringExtensions
{
public static string ReplaceString(this string src, string oldValue, string newValue, StringComparison comparison)
{
if (string.IsNullOrWhiteSpace(src))
{
return src;
}
if (string.Compare(oldValue, newValue, comparison) == 0)
{
return src;
}
var sb = new StringBuilder();
var previousIndex = 0;
var index = src.IndexOf(oldValue, comparison);
while (index != -1)
{
sb.Append(src.Substring(previousIndex, index - previousIndex));
sb.Append(newValue);
index += oldValue.Length;
previousIndex = index;
index = src.IndexOf(oldValue, index, comparison);
}
sb.Append(src.Substring(previousIndex));
return sb.ToString();
}
}
} و در آخر یک مثال از استفادهی این متد تهیه شده، جهت به روز رسانی لینکهای HTTP به HTTPS در تمام جداول برنامه به صورت زیر است:
UpdateDbContextContents.ReplaceAllStringsAcrossTables(
new[]
{
new ReplaceOp
{
ToFind = "https://www.dntips.ir",
ToReplace = "https://www.dntips.ir",
Comparison = StringComparison.OrdinalIgnoreCase
},
new ReplaceOp
{
ToFind = "https://www.dntips.ir",
ToReplace = "https://www.dntips.ir",
Comparison = StringComparison.OrdinalIgnoreCase
}
}); کدهای کامل این مطلب را از اینجا میتوانید دریافت کنید: EFReplaceAll.zip
ObsoleteAttribute
ObsoleteAttribute بر روی تمامی عناصر یک برنامه بجز assemblies, modules، پارامترها و مقادیر بازگشتی قابل استفاده است. علامتگذاری یک عنصر به عنوان منسوخ شده، به کاربر استفاده کننده اطلاع میدهد که این عنصر در نسخههای آینده حذف خواهد شد.
با استفاده از پروپرتی Message آن پیامی را به کاربر استفاده کننده نشان خواهد داد و توصیه میشود در این پیام یک راه حل نیز ارائه شود.
پروپرتی IsError در صورتی که مقدار آن به true تعیین شده باشد و کامپایلر در صورتی که عنصری که این خصوصیت بر روی آن تعریف شده است، استفاده شده باشد، در پنجره Error List، پیام مربوط به Obsolete را نشان میدهد. برای مثال پس از استفاده از کلاس زیر، OrderDetailTotal به صورت warning و CalculateOrderDetailTotal به صورت Error در پنجره Error List نشان داده میشود.
public static class ObsoleteExample
{
// Mark OrderDetailTotal As Obsolete.
[ObsoleteAttribute("This property (OrderDetailTotal) is obsolete. Use InvoiceTotal instead.", false)]
public static decimal OrderDetailTotal
{
get { return 12m; }
}
public static decimal InvoiceTotal
{
get { return 25m; }
}
// Mark CalculateOrderDetailTotal As Obsolete.
[ObsoleteAttribute("This method is obsolete. Call CalculateInvoiceTotal instead.", true)]
public static decimal CalculateOrderDetailTotal()
{
return 0m;
}
public static decimal CalculateInvoiceTotal()
{
return 1m;
}
} DefaultValueAttribute
DefaultValueAttribute جهت تعیین مقدار پیش فرض یک پروپرتی استفاده میشود. شما میتوانید یک DefaultValueAttribute را با هر مقداری ایجاد کنید. ایجاد مقدار پیش فرض برای یک پروپرتی باعث نمیشود که مقداردهی اولیهای به آن انجام گیرد؛ برای این کار نیاز به کدنویسی میباشد.
مثال زیر نحوه استفاده و مقداردهی اولیه پروپرتیها را نشان میدهد.
public class DefaultValueAttributeTest
{
public DefaultValueAttributeTest()
{
// Use the DefaultValue propety of each property to actually set it, via reflection.
foreach (PropertyDescriptor prop in TypeDescriptor.GetProperties(this))
{
var attr = prop.Attributes[typeof(DefaultValueAttribute)] as DefaultValueAttribute;
if (attr != null)
prop.SetValue(this, attr.Value);
}
}
[DefaultValue(28)]
public int Age { get; set; }
[DefaultValue("Vahid")]
public string FirstName { get; set; }
[DefaultValue("Mohammad Taheri")]
public string LastName { get; set; }
public override string ToString()
{
return $"{this.FirstName} {this.LastName} is {this.Age}.";
}
}
DebuggerBrowsableAttribute
در صورت استفاده از DebuggerBrowsableAttribute ، شما میتوانید نحوه نمایش یک عضو را در پنجره متغیرها، در زمان دیباگ، تعیین کنید.public class DebuggerBrowsableTest
{
[DebuggerBrowsable(DebuggerBrowsableState.Never)] // عدم نمایش در زمان دیباگ در پنجره متغیرها
public string FirstName { get; set; }
[DebuggerBrowsable(DebuggerBrowsableState.Collapsed)] // مقدار پیش فرض
public string LastName { get; set; }
[DebuggerBrowsable( DebuggerBrowsableState.RootHidden )] // عدم نمایش در زمان دیباگ در پنجره متغیرها
public string FullName => FirstName + " " + LastName;
[DebuggerBrowsable( DebuggerBrowsableState.RootHidden )] // تنها در زمانی که یک آرایه یا لیست باشد نمایش داده میشود
public string[] FullNameArray => new string[] { FirstName + " " + LastName };
} اگر از کد مثال بالا استفاده کنید و با استفاده از کلید F11 به صورت خط به خط دستورات را اجرا کنید، مشاهده خواهید کرد متغیر FirstName و FullName در پنجره Autos نشان داده نخواهد شد.
Operator ??
عملگر ?? در صورتی که عملوند سمت چپ آن تهی (null) نباشد، مقدار آن را باز میگرداند و در غیر اینصورت مقدار عملوند سمت راست خود را باز میگرداند. نوعهای تهی پذیر (nullable) میتوانند دارای مقدار و یا به صورت تعریف نشده باشند. عملگر ?? وقتی که یک نوع تهی پذیر به یک نوع غیرتهی پذیر انتساب داده میشود، مقدار پیش فرض آن را باز میگرداند.
int? x = null;
int y = x ?? -1;
Console.WriteLine("y now equals -1 because x was null => {0}", y);
int i = DefaultValueOperatorTest.GetNullableInt() ?? default(int);
Console.WriteLine("i equals now 0 because GetNullableInt() returned null => {0}", i);
string s = DefaultValueOperatorTest.GetStringValue();
Console.WriteLine("Returns 'Unspecified' because s is null => {0}", s ?? "Unspecified"); چند روز قبل، یکی از کانالهای فنی معروف یوتیوب با بیش از 15 میلیون مشترک، هک و پاک شد! که داستان آنرا در اینجا میتوانید پیگیری کنید. در این هک، مهاجم در سعی اول، پیشنهاد پشتیبانی مالی از شبکه را داده و در ایمیل دوم، پس از جلب اعتماد اولیه، یک فایل به ظاهر PDF مفاد قرارداد را ارسال کرده که با کلیک بر روی آن، تمام کوکیهای یوتیوب مالک کانال، سرقت و مورد سوء استفاده قرار گرفته! در یک چنین حالتی، مهم نیست که شما اعتبارسنجی دو مرحلهای را فعال کردهاید و یا از بهترین روشهای رمزنگاری برای امن کردن اطلاعات کوکی و یا توکن خود استفاده کردهاید، همینقدر که اصل محتوای کوکی و یا توکن شما در اختیار شخص دیگری قرار گیرد، میتواند بدون نیاز به لاگین و دانستن کلمهی عبور شما، بجای شما وارد سیستم شده و تغییرات دلخواهی را اعمال کند!
بنابراین سؤال اینجاست که ما (توسعه دهندگان) چگونه میتوانیم یک چنین حملاتی را مشکلتر کنیم؟ در این مطلب روشی را در جهت سعی در غیرمعتبر کردن توکنها و یا کوکیهای سرقت شده، در برنامههای مبتنی بر ASP.NET Core بررسی خواهیم کرد.
توسعهی یک سرویس تشخیص مرورگر و سیستم عامل شخص وارد شدهی به سیستم
یکی از روشهای غیرممکن کردن یک چنین حملاتی، درج مشخصات سیستم عامل و مرورگر شخص وارد شدهی به سیستم، در کوکی و همچنین توکن صادر شدهی حاصل از اعتبارسنجی موفق است. سپس زمانیکه قرار است از اطلاعات این کوکی و یا توکن در برنامه استفاده شود، این اطلاعات را با اطلاعات درخواست جاری کاربر مقایسه کرده و در صورت عدم تطابق، درخواست او را برگشت میزنیم. برای مثال اگر عملیات لاگین، در ویندوز انجام شده و اکنون توکن و یا کوکی حاصل، در سیستم عامل اندروید در حاصل استفادهاست، یعنی ... این عملیات مشکوک است و باید خاتمه یابد و کاربر باید مجبور به لاگین مجدد شود و نه اعتبارسنجی خودکار بدون زحمت!
برای این منظور میتوان از کتابخانهی UA-Parser استفاده کرد و توسط آن سرویس زیر را توسعه داد:
توضیحات:
اصل کار این سرویس در متد زیر رخ میدهد:
در اینجا با استفاده از کتابخانهی UA-Parser، سعی میکنیم تا جزئیات مرورگر و سیستم عامل شخص را تهیه کنیم. سپس در قسمت دیگری از این سرویس، این اطلاعات را هش میکنیم. از این جهت که هم حجم آن کاهش یابد و بیجهت کوکی و یا توکن ما را حجیم نکند و هم بررسی محتوای آن جهت شبیه سازی آن، غیرممکن شود. هر مشخصات دریافتی در حین لاگین، همواره یک هش مشخص و یکتا را دارد. به همین جهت متدهای هش کردن اطلاعات را هم در اینجا مشاهده میکنید. به علاوهی متد HasUserTokenValidDeviceDetails که کار آن، دریافت Claim مرتبط با این اطلاعات، از کوکی و یا توکن جاری و مقایسهی آن با اطلاعات Http Request جاری است. اگر این دو یکی نبودند، یعنی احتمال سوء استفادهی از اطلاعات شخص، وجود دارد.
اضافه کردن اطلاعات مشخصات دستگاه کاربر به کوکی و یا توکن او
همانطور که عنوان شد، در متد HasUserTokenValidDeviceDetails، ابتدا مشخصات دستگاه موجود در کوکی و یا توکن دریافتی، استخراج میشود. به همین جهت نیاز است این مشخصات را دقیقا در حین لاگین موفق، به صورت یک Claim جدید، برای مثال از نوع ClaimTypes.System به مجموعهی Claims کاربر اضافه کرد:
یکپارچه کردن DeviceDetectionService با اعتبارسنجهای کوکیها و توکنها
پس از افزودن مشخصات سیستم کاربر وارد شدهی به سیستم، به صورت یک Claim جدید به توکنها، روش اعتبارسنجی اطلاعات موجود در توکن رسیده، در رخداد گردان OnTokenValidated است که امکان دسترسی به HttpContext و محتوای توکن را میسر میکند:
و یا اگر از کوکیها استفاده میکنید، معادل آن به صورت زیر است:
در کل تمام تغییرات مورد نیاز مرتبط را جهت یک برنامهی تولید کنندهی JWT در اینجا و برای یک برنامهی مبتنی بر کوکیها در اینجا میتوانید مشاهده کنید.
بنابراین سؤال اینجاست که ما (توسعه دهندگان) چگونه میتوانیم یک چنین حملاتی را مشکلتر کنیم؟ در این مطلب روشی را در جهت سعی در غیرمعتبر کردن توکنها و یا کوکیهای سرقت شده، در برنامههای مبتنی بر ASP.NET Core بررسی خواهیم کرد.
توسعهی یک سرویس تشخیص مرورگر و سیستم عامل شخص وارد شدهی به سیستم
یکی از روشهای غیرممکن کردن یک چنین حملاتی، درج مشخصات سیستم عامل و مرورگر شخص وارد شدهی به سیستم، در کوکی و همچنین توکن صادر شدهی حاصل از اعتبارسنجی موفق است. سپس زمانیکه قرار است از اطلاعات این کوکی و یا توکن در برنامه استفاده شود، این اطلاعات را با اطلاعات درخواست جاری کاربر مقایسه کرده و در صورت عدم تطابق، درخواست او را برگشت میزنیم. برای مثال اگر عملیات لاگین، در ویندوز انجام شده و اکنون توکن و یا کوکی حاصل، در سیستم عامل اندروید در حاصل استفادهاست، یعنی ... این عملیات مشکوک است و باید خاتمه یابد و کاربر باید مجبور به لاگین مجدد شود و نه اعتبارسنجی خودکار بدون زحمت!
برای این منظور میتوان از کتابخانهی UA-Parser استفاده کرد و توسط آن سرویس زیر را توسعه داد:
using System.Security.Claims;
using Microsoft.AspNetCore.Http;
using Microsoft.Net.Http.Headers;
using UAParser;
namespace ASPNETCore2JwtAuthentication.Services;
/// <summary>
/// To invalidate an old user's token from a new device
/// </summary>
public class DeviceDetectionService : IDeviceDetectionService
{
private readonly IHttpContextAccessor _httpContextAccessor;
private readonly ISecurityService _securityService;
public DeviceDetectionService(ISecurityService securityService, IHttpContextAccessor httpContextAccessor)
{
_securityService = securityService ?? throw new ArgumentNullException(nameof(securityService));
_httpContextAccessor = httpContextAccessor ?? throw new ArgumentNullException(nameof(httpContextAccessor));
}
public string GetCurrentRequestDeviceDetails() => GetDeviceDetails(_httpContextAccessor.HttpContext);
public string GetDeviceDetails(HttpContext context)
{
var ua = GetUserAgent(context);
if (ua is null)
{
return "unknown";
}
var client = Parser.GetDefault().Parse(ua);
var deviceInfo = client.Device.Family;
var browserInfo = $"{client.UA.Family}, {client.UA.Major}.{client.UA.Minor}";
var osInfo = $"{client.OS.Family}, {client.OS.Major}.{client.OS.Minor}";
//TODO: Add the user's IP address here, if it's a banking system.
return $"{deviceInfo}, {browserInfo}, {osInfo}";
}
public string GetDeviceDetailsHash(HttpContext context) =>
_securityService.GetSha256Hash(GetDeviceDetails(context));
public string GetCurrentRequestDeviceDetailsHash() => GetDeviceDetailsHash(_httpContextAccessor.HttpContext);
public string GetCurrentUserTokenDeviceDetailsHash() =>
GetUserTokenDeviceDetailsHash(_httpContextAccessor.HttpContext?.User.Identity as ClaimsIdentity);
public string GetUserTokenDeviceDetailsHash(ClaimsIdentity claimsIdentity)
{
if (claimsIdentity?.Claims == null || !claimsIdentity.Claims.Any())
{
return null;
}
return claimsIdentity.FindFirst(ClaimTypes.System)?.Value;
}
public bool HasCurrentUserTokenValidDeviceDetails() =>
HasUserTokenValidDeviceDetails(_httpContextAccessor.HttpContext?.User.Identity as ClaimsIdentity);
public bool HasUserTokenValidDeviceDetails(ClaimsIdentity claimsIdentity) =>
string.Equals(GetCurrentRequestDeviceDetailsHash(), GetUserTokenDeviceDetailsHash(claimsIdentity),
StringComparison.Ordinal);
private static string GetUserAgent(HttpContext context)
{
if (context is null)
{
return null;
}
return context.Request.Headers.TryGetValue(HeaderNames.UserAgent, out var userAgent)
? userAgent.ToString()
: null;
}
} اصل کار این سرویس در متد زیر رخ میدهد:
public string GetDeviceDetails(HttpContext context)
{
var ua = GetUserAgent(context);
if (ua is null)
{
return "unknown";
}
var client = Parser.GetDefault().Parse(ua);
var deviceInfo = client.Device.Family;
var browserInfo = $"{client.UA.Family}, {client.UA.Major}.{client.UA.Minor}";
var osInfo = $"{client.OS.Family}, {client.OS.Major}.{client.OS.Minor}";
//TODO: Add the user's IP address here, if it's a banking system.
return $"{deviceInfo}, {browserInfo}, {osInfo}";
} اضافه کردن اطلاعات مشخصات دستگاه کاربر به کوکی و یا توکن او
همانطور که عنوان شد، در متد HasUserTokenValidDeviceDetails، ابتدا مشخصات دستگاه موجود در کوکی و یا توکن دریافتی، استخراج میشود. به همین جهت نیاز است این مشخصات را دقیقا در حین لاگین موفق، به صورت یک Claim جدید، برای مثال از نوع ClaimTypes.System به مجموعهی Claims کاربر اضافه کرد:
new(ClaimTypes.System, _deviceDetectionService.GetCurrentRequestDeviceDetailsHash(), ClaimValueTypes.String, _configuration.Value.Issuer),
- نمونهی انجام اینکار در یک برنامهی تولید کنندهی JWT
- نمونهی انجام اینکار در یک برنامهی تولید کنندهی کوکی
یکپارچه کردن DeviceDetectionService با اعتبارسنجهای کوکیها و توکنها
پس از افزودن مشخصات سیستم کاربر وارد شدهی به سیستم، به صورت یک Claim جدید به توکنها، روش اعتبارسنجی اطلاعات موجود در توکن رسیده، در رخداد گردان OnTokenValidated است که امکان دسترسی به HttpContext و محتوای توکن را میسر میکند:
.AddJwtBearer(cfg =>
{
cfg.Events = new JwtBearerEvents
{
OnTokenValidated = context =>
{
var tokenValidatorService = context.HttpContext.RequestServices.GetRequiredService<ITokenValidatorService>();
return tokenValidatorService.ValidateAsync(context);
},
};
}); .AddCookie(options =>
{
options.Events = new CookieAuthenticationEvents
{
OnValidatePrincipal = context =>
{
var cookieValidatorService = context.HttpContext.RequestServices.GetRequiredService<ICookieValidatorService>();
return cookieValidatorService.ValidateAsync(context);
}
};
}); - نمونهی کامل انجام اینکار در یک برنامهی تولید کنندهی JWT
- نمونهی کامل انجام اینکار در یک برنامهی تولید کنندهی کوکی
در کل تمام تغییرات مورد نیاز مرتبط را جهت یک برنامهی تولید کنندهی JWT در اینجا و برای یک برنامهی مبتنی بر کوکیها در اینجا میتوانید مشاهده کنید.
قسمت switch ایی را که در View نوشتید، تبدیل کنید به یک متد کمکی در کلاسی خارج از View: (مهم نیست متد الحاقی باشد یا خیر؛ فقط داخل View نباشد)
بعد یک خاصیت محاسباتی به نام FileName به مدل مورد استفاده اضافه کنید:
به این صورت View از کدهای محاسبات یافتن FileName خالی میشود.
public static string GetFileName(int code)
{
switch (code)
{
case 0: return "/Images/User/Weather/Tornado.png";
//...
} public class YahooWeatherRssItem
{
public int Code { get; set; }
//...
public string FileName
{
get { return Util.GetFileName(Code); }
}
} فرض کنید در برنامهی خود، یک سرویس جنریک را طراحی کردهاید. برای مثال خود ASP.NET Core به همراه سرویس جنریک <ILogger<T است و اگر برای نمونه بخواهیم آنرا در سازندهی کنترلری مانند ValuesController تزریق کنیم، نحوهی تعریف آن به صورت <ILogger<ValuesController خواهد بود. هر چند تنظیمات این سرویس پیشتر انجام شدهاست، اما اگر بخواهیم آنرا به همین نحو <ILogger<T به متدهایی مانند services.AddScoped معرفی کنیم، کار نمیکند؛ نمونهی دیگری از این دست Generic Repositoryها هستند:
نحوهی معرفی سرویسهای جنریک نامحدود (Open Generics و یا Unbound Generics) به سیستم تزریق وابستگیها
اگر بخواهیم یک سرویس جنریک را به سیستم تزریق وابستگیهای برنامههای NET Core. به نحو متداولی معرفی کنیم، نیاز است به ازای تک تک Tهای میسر و تعریف شدهی در برنامه، اینکار صورت گیرد:
و در اینجا به ازای هر T یا موجودیت جدیدی در برنامه، نیاز است یک سطر دیگر را نیز تعریف کرد. خوشبختانه در این سیستم، امکان تعریف جنریکهای نامحدود و باز نیز وجود دارد:
به این ترتیب تمام سطرهایی که پیشتر تعریف کردیم، تبدیل به یک سطر فوق میشوند. در اینجا از Overload غیرجنریک متد AddScoped استفاده شده؛ به همین جهت از واژهی کلیدی typeof برای معرفی نوعهای جنریک باز کمک گرفته شدهاست. ذکر <> نیز به معنای تفسیر و وهله سازی هر نوع درخواستی رسیده، در زمان اجرا میباشد.
محدودیت کار کردن با جنریکهای نامحدود در سیستم تزریق وابستگیها
با تعریف تک سطر فوق، هر چند برنامه بدون مشکل کامپایل میشود، اما اگر در زمان اجرای برنامه، <IStore<T ای را درخواست کنید که میسر نباشد (در خواست هر نوعی در زمان اجرا با جنریکهای باز معرفی شده، میسر است)، یک استثنای زمان اجرا را دریافت میکنید؛ برای مثال اگر نوع T به کلاسها محدود شده باشد و در قسمتی از برنامه، <IStore<int درخواست شود. هرچند این موارد با یکبار آزمایش برنامه، قابل یافت شدن و رفع میباشند.
کتابخانهی کمکی Scrutor نیز از جنریکهای باز پشتیبانی میکند
در قسمت قبل نحوهی اسکن اسمبلیهای برنامه را توسط کتابخانهی کمکی Scrutor بررسی کردیم. این کتابخانه امکان یافتن و فیلتر کلاسها و معرفی آنها را به سیستم تزریق وابستگیها، بر اساس ویژگی جنریکهای باز نیز دارا است:
ساده سازی «مثال 2: وهله سازی در صورت نیاز وابستگیهای یک سرویس به کمک Lazy loading» قسمت ششم با جنریکهای نامحدود
در قسمت ششم نحوهی تعریف پیشنیازهای وهله سازی به تاخیر افتاده را با استفاده از کلاس Lazy بررسی کردیم:
- در اینجا در ابتدا تمام سرویسها (حتی آنهایی که قرار است به صورت Lazy استفاده شوند) یکبار به صورت متداولی معرفی میشوند.
- سپس سرویسهایی که قرار است به صورت Lazy نیز واکشی شوند، بار دیگر توسط روش factory registration با وهله سازی new Lazy از نوع سرویس مدنظر و فراهم آوردن پیاده سازی آن با استفاده از serviceProvider.GetRequiredService، مجددا معرفی خواهند شد.
اگر به شرط دوم دقت کنید، <new Lazy<IAccounting و <new Lazy<ISales، دقیقا مانند همان سرویسهای جنریک <IStore<User و <IStore<Invoice تعریف شدهاند. یعنی نیاز است به ازای هر T ممکن در برنامه، یکبار <new Lazy<T را نیز به سیستم تزریق وابستگیها معرفی کرد. بنابراین تمام این تعریفهای اضافی را میتوان با یک سطر جنریک نامحدود زیر جایگزین و خلاصه کرد:
و نکتهی جالب آن، نحوهی تعریف قسمت factory متدهایی مانند AddTransient در اینجا است که به صورت زیر قابل پیاده سازی است:
// does not work: services.AddScoped<IGenericRepository<T>,EFRepository<T>>();
نحوهی معرفی سرویسهای جنریک نامحدود (Open Generics و یا Unbound Generics) به سیستم تزریق وابستگیها
اگر بخواهیم یک سرویس جنریک را به سیستم تزریق وابستگیهای برنامههای NET Core. به نحو متداولی معرفی کنیم، نیاز است به ازای تک تک Tهای میسر و تعریف شدهی در برنامه، اینکار صورت گیرد:
public void ConfigureServices(IServiceCollection services)
{
services.AddScoped<IStore<User>, SqlStore<User>>();
services.AddScoped<IStore<Invoice>, SqlStore<Invoice>>();
services.AddScoped<IStore<Payment>, SqlStore<Payment>>();
// ...
} public void ConfigureServices(IServiceCollection services)
{
services.AddScoped(typeof(IStore<>), typeof(SqlStore<>));
} محدودیت کار کردن با جنریکهای نامحدود در سیستم تزریق وابستگیها
با تعریف تک سطر فوق، هر چند برنامه بدون مشکل کامپایل میشود، اما اگر در زمان اجرای برنامه، <IStore<T ای را درخواست کنید که میسر نباشد (در خواست هر نوعی در زمان اجرا با جنریکهای باز معرفی شده، میسر است)، یک استثنای زمان اجرا را دریافت میکنید؛ برای مثال اگر نوع T به کلاسها محدود شده باشد و در قسمتی از برنامه، <IStore<int درخواست شود. هرچند این موارد با یکبار آزمایش برنامه، قابل یافت شدن و رفع میباشند.
کتابخانهی کمکی Scrutor نیز از جنریکهای باز پشتیبانی میکند
در قسمت قبل نحوهی اسکن اسمبلیهای برنامه را توسط کتابخانهی کمکی Scrutor بررسی کردیم. این کتابخانه امکان یافتن و فیلتر کلاسها و معرفی آنها را به سیستم تزریق وابستگیها، بر اساس ویژگی جنریکهای باز نیز دارا است:
services.Scan(scan => scan
.FromAssemblyOf<CombinedService>()
.AddClasses(x=> x.AssignableTo(typeof(IOpenGeneric<>))) // Can close generic types
.AsMatchingInterface()) ساده سازی «مثال 2: وهله سازی در صورت نیاز وابستگیهای یک سرویس به کمک Lazy loading» قسمت ششم با جنریکهای نامحدود
در قسمت ششم نحوهی تعریف پیشنیازهای وهله سازی به تاخیر افتاده را با استفاده از کلاس Lazy بررسی کردیم:
services.AddTransient<IOrderHandler, OrderHandlerLazy>();
services.AddTransient<IAccounting, Accounting>()
.AddTransient(serviceProvider => new Lazy<IAccounting>(() => serviceProvider.GetRequiredService<IAccounting>()));
services.AddTransient<ISales, Sales>()
.AddTransient(serviceProvider => new Lazy<ISales>(() => serviceProvider.GetRequiredService<ISales>())); - سپس سرویسهایی که قرار است به صورت Lazy نیز واکشی شوند، بار دیگر توسط روش factory registration با وهله سازی new Lazy از نوع سرویس مدنظر و فراهم آوردن پیاده سازی آن با استفاده از serviceProvider.GetRequiredService، مجددا معرفی خواهند شد.
اگر به شرط دوم دقت کنید، <new Lazy<IAccounting و <new Lazy<ISales، دقیقا مانند همان سرویسهای جنریک <IStore<User و <IStore<Invoice تعریف شدهاند. یعنی نیاز است به ازای هر T ممکن در برنامه، یکبار <new Lazy<T را نیز به سیستم تزریق وابستگیها معرفی کرد. بنابراین تمام این تعریفهای اضافی را میتوان با یک سطر جنریک نامحدود زیر جایگزین و خلاصه کرد:
services.AddTransient(typeof(Lazy<>), typeof(LazyFactory<>));
public class LazyFactory<T> : Lazy<T> where T : class
{
public LazyFactory(IServiceProvider provider)
: base(() => provider.GetRequiredService<T>())
{
}
} 
connectionStrings رو به این دو صورت میگذارم:
و
هر دو یه مشکل رو دارند.فکر نمیکنم چون اگر مشکل دسترسی اکانت بود منطقا بدون Migration هم باید خطا میداد؟!
<add name="TestContext"
connectionString="Data Source=localhost;Initial Catalog=Test;User ID=sa;Password=123;MultipleActiveResultSets=True;"
providerName="System.Data.EntityClient" /> <add name="TestContext"
connectionString="Data Source=localhost;Initial Catalog=Test;Integrated Security=True"
providerName="System.Data.EntityClient" />