Parte 6: criando controladores de produtos e pedidos

por Mike Wasson

Baixar projeto concluído

Adicionar um controlador de produtos

O controlador de administração é para usuários que têm privilégios de administrador. Os clientes, por outro lado, podem exibir produtos, mas não podem criá-los, atualizá-los ou excluí-los.

Podemos restringir facilmente o acesso aos métodos post, PUT e Delete, deixando os métodos get abertos. Mas examine os dados que são retornados para um produto:

{"Id":1,"Name":"Tomato Soup","Price":1.39,"ActualCost":0.99}

A propriedade ActualCost não deve ser visível para os clientes! A solução é definir um DTO ( objeto de transferência de dados ) que inclua um subconjunto de propriedades que deve ser visível aos clientes. Usaremos o LINQ para projetar Product instâncias para ProductDTO instâncias.

Adicione uma classe chamada ProductDTO à pasta modelos.

namespace ProductStore.Models
{
    public class ProductDTO
    {
        public int Id { get; set; }
        public string Name { get; set; }
        public decimal Price { get; set; }
    }
}

Agora, adicione o controlador. Em Gerenciador de Soluções, clique com o botão direito do mouse na pasta controladores. Selecione Adicionare, em seguida, selecione controlador. Na caixa de diálogo Adicionar controlador , nomeie o controlador "ProductsController". Em modelo, selecione controlador de API vazio.

Substitua tudo no arquivo de origem pelo código a seguir:

namespace ProductStore.Controllers
{
    using System.Collections.Generic;
    using System.Linq;
    using System.Net;
    using System.Net.Http;
    using System.Web.Http;
    using ProductStore.Models;

    public class ProductsController : ApiController
    {
        private OrdersContext db = new OrdersContext();

        // Project products to product DTOs.
        private IQueryable<ProductDTO> MapProducts()
        {
            return from p in db.Products select new ProductDTO() 
                { Id = p.Id, Name = p.Name, Price = p.Price };
        }

        public IEnumerable<ProductDTO> GetProducts()
        {
            return MapProducts().AsEnumerable();
        }

        public ProductDTO GetProduct(int id)
        {
            var product = (from p in MapProducts() 
                           where p.Id == 1 
                           select p).FirstOrDefault();
            if (product == null)
            {
                throw new HttpResponseException(
                    Request.CreateResponse(HttpStatusCode.NotFound));
            }
            return product;
        }

        protected override void Dispose(bool disposing)
        {
            db.Dispose();
            base.Dispose(disposing);
        }
    }
}

O controlador ainda usa o OrdersContext para consultar o banco de dados. Mas, em vez de retornar Product instâncias diretamente, chamamos MapProducts para projetar em ProductDTO instâncias:

return from p in db.Products select new ProductDTO() 
    { Id = p.Id, Name = p.Name, Price = p.Price };

O método MapProducts retorna um IQueryable, portanto, podemos compor o resultado com outros parâmetros de consulta. Você pode ver isso no método GetProduct, que adiciona uma cláusula Where à consulta:

var product = (from p in MapProducts() 
    where p.Id == 1
    select p).FirstOrDefault();

Adicionar um controlador de pedidos

Em seguida, adicione um controlador que permita aos usuários criar e exibir pedidos.

Começaremos com outro DTO. Em Gerenciador de Soluções, clique com o botão direito do mouse na pasta modelos e adicione uma classe chamada OrderDTO use a seguinte implementação:

namespace ProductStore.Models
{
    using System.Collections.Generic;

    public class OrderDTO
    {
        public class Detail
        {
            public int ProductID { get; set; }
            public string Product { get; set; }
            public decimal Price { get; set; }
            public int Quantity { get; set; }
        }
        public IEnumerable<Detail> Details { get; set; }
    }
}

Agora, adicione o controlador. Em Gerenciador de Soluções, clique com o botão direito do mouse na pasta controladores. Selecione Adicionare, em seguida, selecione controlador. Na caixa de diálogo Adicionar controlador , defina as seguintes opções:

  • Em nome do controlador, insira "OrdersController".
  • Em modelo, selecione "controlador de API com ações de leitura/gravação, usando Entity Framework".
  • Em classe de modelo, selecione "ordem (ProductStore. Models)".
  • Em classe de contexto de dados, selecione "OrdersContext (ProductStore. Models)".

Clique em Adicionar. Isso adiciona um arquivo chamado OrdersController.cs. Em seguida, precisamos modificar a implementação padrão do controlador.

Primeiro, exclua os métodos PutOrder e DeleteOrder. Para este exemplo, os clientes não podem modificar ou excluir pedidos existentes. Em um aplicativo real, você precisaria de muita lógica de back-end para lidar com esses casos. (Por exemplo, o pedido já foi enviado?)

Altere o método GetOrders para retornar apenas os pedidos que pertencem ao usuário:

public IEnumerable<Order> GetOrders()
{
    return db.Orders.Where(o => o.Customer == User.Identity.Name);
}

Altere o método GetOrder da seguinte maneira:

public OrderDTO GetOrder(int id)
{
    Order order = db.Orders.Include("OrderDetails.Product")
        .First(o => o.Id == id && o.Customer == User.Identity.Name);
    if (order == null)
    {
        throw new HttpResponseException(Request.CreateResponse(HttpStatusCode.NotFound));
    }

    return new OrderDTO()
    {
        Details = from d in order.OrderDetails
                  select new OrderDTO.Detail()
                      {
                          ProductID = d.Product.Id,
                          Product = d.Product.Name,
                          Price = d.Product.Price,
                          Quantity = d.Quantity
                      }
    };
}

Aqui estão as alterações que fizemos no método:

  • O valor de retorno é uma instância de OrderDTO, em vez de uma Order.
  • Quando consultamos o banco de dados para o pedido, usamos o método DbQuery. include para buscar as entidades relacionadas OrderDetail e Product.
  • Nós mesclamos o resultado usando uma projeção.

A resposta HTTP conterá uma matriz de produtos com quantidades:

{"Details":[{"ProductID":1,"Product":"Tomato Soup","Price":1.39,"Quantity":2},
{"ProductID":3,"Product":"Yo yo","Price":6.99,"Quantity":1}]}

Esse formato é mais fácil para os clientes consumirem do que o grafo do objeto original, que contém entidades aninhadas (ordem, detalhes e produtos).

O último método a ser considerado PostOrder. No momento, esse método usa uma instância de Order. Mas considere o que acontece se um cliente envia um corpo de solicitação como este:

{"Customer":"Alice","OrderDetails":[{"Quantity":1,"Product":{"Name":"Koala bears", 
"Price":5,"ActualCost":1}}]}

Essa é uma ordem bem estruturada e Entity Framework irá inseri-la em um banco de dados. Mas ele contém uma entidade de produto que não existia anteriormente. O cliente acabou de criar um novo produto em nosso banco de dados! Isso será uma surpresa para o departamento de preenchimento de pedidos, quando eles veem um pedido de Koala. A moral é ter muito cuidado com os dados que você aceita em uma solicitação POST ou PUT.

Para evitar esse problema, altere o método PostOrder para tomar uma instância OrderDTO. Use o OrderDTO para criar o Order.

var order = new Order()
{
    Customer = User.Identity.Name,
    OrderDetails = (from item in dto.Details select new OrderDetail() 
        { ProductId = item.ProductID, Quantity = item.Quantity }).ToList()
};

Observe que usamos as propriedades ProductID e Quantity e ignoramos quaisquer valores que o cliente enviou para o nome ou o preço do produto. Se a ID do produto não for válida, ela violará a restrição FOREIGN KEY no banco de dados e a inserção falhará, como deveria.

Aqui está o método de PostOrder completo:

public HttpResponseMessage PostOrder(OrderDTO dto)
{
    if (ModelState.IsValid)
    {
        var order = new Order()
        {
            Customer = User.Identity.Name,
            OrderDetails = (from item in dto.Details select new OrderDetail() 
                { ProductId = item.ProductID, Quantity = item.Quantity }).ToList()
        };

        db.Orders.Add(order);
        db.SaveChanges();

        HttpResponseMessage response = Request.CreateResponse(HttpStatusCode.Created, order);
        response.Headers.Location = new Uri(Url.Link("DefaultApi", new { id = order.Id }));
        return response;
    }
    else
    {
        return Request.CreateResponse(HttpStatusCode.BadRequest);
    }
}

Por fim, adicione o atributo Authorize ao controlador:

[Authorize]
public class OrdersController : ApiController
{
    // ...

Agora, somente os usuários registrados podem criar ou exibir pedidos.