Часть 6. Создание контроллеров продуктов и заказов

по Майк Уоссон

Скачать завершенный проект

Добавление контроллера продуктов

Административный контроллер предназначен для пользователей с правами администратора. Клиенты, с другой стороны, могут просматривать продукты, но не могут создавать, обновлять или удалять их.

Можно легко ограничить доступ к методам POST, WHERE и DELETE, не открывая методы Get. Но взгляните на данные, возвращаемые для продукта:

{"Id":1,"Name":"Tomato Soup","Price":1.39,"ActualCost":0.99}

Свойство ActualCost не должно быть видимым для клиентов! Решение заключается в определении объекта передачи данных (DTO), который включает подмножество свойств, которые должны быть видимыми для клиентов. Для ProductDTO экземпляров мы будем использовать LINQ to Project Product Instances.

Добавьте класс с именем ProductDTO в папку Models.

namespace ProductStore.Models
{
    public class ProductDTO
    {
        public int Id { get; set; }
        public string Name { get; set; }
        public decimal Price { get; set; }
    }
}

Теперь добавьте контроллер. В обозреватель решений щелкните правой кнопкой мыши папку Controllers. Нажмите кнопку Добавить, а затем выберите контроллер. В диалоговом окне Добавление контроллера введите имя контроллера "продуктсконтроллер". В разделе шаблонвыберите пустой контроллер API.

Замените все в исходном файле следующим кодом:

namespace ProductStore.Controllers
{
    using System.Collections.Generic;
    using System.Linq;
    using System.Net;
    using System.Net.Http;
    using System.Web.Http;
    using ProductStore.Models;

    public class ProductsController : ApiController
    {
        private OrdersContext db = new OrdersContext();

        // Project products to product DTOs.
        private IQueryable<ProductDTO> MapProducts()
        {
            return from p in db.Products select new ProductDTO() 
                { Id = p.Id, Name = p.Name, Price = p.Price };
        }

        public IEnumerable<ProductDTO> GetProducts()
        {
            return MapProducts().AsEnumerable();
        }

        public ProductDTO GetProduct(int id)
        {
            var product = (from p in MapProducts() 
                           where p.Id == 1 
                           select p).FirstOrDefault();
            if (product == null)
            {
                throw new HttpResponseException(
                    Request.CreateResponse(HttpStatusCode.NotFound));
            }
            return product;
        }

        protected override void Dispose(bool disposing)
        {
            db.Dispose();
            base.Dispose(disposing);
        }
    }
}

Контроллер по-прежнему использует OrdersContext для запроса к базе данных. Но вместо того, чтобы возвращать экземпляры Product напрямую, мы вызываем MapProducts для проецирования их на экземпляры ProductDTO:

return from p in db.Products select new ProductDTO() 
    { Id = p.Id, Name = p.Name, Price = p.Price };

Метод MapProducts возвращает IQueryable, поэтому мы можем составить результат с другими параметрами запроса. Это можно увидеть в методе GetProduct, который добавляет к запросу предложение WHERE :

var product = (from p in MapProducts() 
    where p.Id == 1
    select p).FirstOrDefault();

Добавление контроллера заказов

Затем добавьте контроллер, позволяющий пользователям создавать и просматривать заказы.

Мы начнем с другого DTO. В обозреватель решений щелкните правой кнопкой мыши папку Models и добавьте класс с именем OrderDTO использовать следующую реализацию:

namespace ProductStore.Models
{
    using System.Collections.Generic;

    public class OrderDTO
    {
        public class Detail
        {
            public int ProductID { get; set; }
            public string Product { get; set; }
            public decimal Price { get; set; }
            public int Quantity { get; set; }
        }
        public IEnumerable<Detail> Details { get; set; }
    }
}

Теперь добавьте контроллер. В обозреватель решений щелкните правой кнопкой мыши папку Controllers. Нажмите кнопку Добавить, а затем выберите контроллер. В диалоговом окне Добавление контроллера задайте следующие параметры.

  • В разделе имя контроллеравведите "ордерсконтроллер".
  • В разделе шаблонвыберите "контроллер API с действиями чтения и записи, используя Entity Framework".
  • В разделе класс моделивыберите"порядок "(Продуктсторе. Models).
  • В разделе класс контекста данныхвыберите "Ордерсконтекст (Продуктсторе. Models)".

Нажмите кнопку Добавить. При этом добавляется файл с именем OrdersController.cs. Далее необходимо изменить реализацию контроллера по умолчанию.

Сначала удалите методы PutOrder и DeleteOrder. В этом примере клиенты не могут изменять или удалять существующие заказы. В реальных приложениях для обработки таких случаев потребуется много серверной логики. (Например, был ли уже отгружен заказ?)

Измените метод GetOrders, чтобы возвращались только заказы, принадлежащие пользователю.

public IEnumerable<Order> GetOrders()
{
    return db.Orders.Where(o => o.Customer == User.Identity.Name);
}

Измените метод GetOrder следующим образом:

public OrderDTO GetOrder(int id)
{
    Order order = db.Orders.Include("OrderDetails.Product")
        .First(o => o.Id == id && o.Customer == User.Identity.Name);
    if (order == null)
    {
        throw new HttpResponseException(Request.CreateResponse(HttpStatusCode.NotFound));
    }

    return new OrderDTO()
    {
        Details = from d in order.OrderDetails
                  select new OrderDTO.Detail()
                      {
                          ProductID = d.Product.Id,
                          Product = d.Product.Name,
                          Price = d.Product.Price,
                          Quantity = d.Quantity
                      }
    };
}

Ниже приведены изменения, внесенные в метод.

  • Возвращаемое значение — это OrderDTO экземпляр, а не Order.
  • При запросе базы данных для заказа мы используем метод дбкуери. include для получения связанных OrderDetail и Product сущностей.
  • Мы будем сводить результаты с помощью проекции.

HTTP-ответ будет содержать массив продуктов с количествами:

{"Details":[{"ProductID":1,"Product":"Tomato Soup","Price":1.39,"Quantity":2},
{"ProductID":3,"Product":"Yo yo","Price":6.99,"Quantity":1}]}

Этот формат легче использовать для клиентов, чем исходный граф объектов, который содержит вложенные сущности (Order, Details и Products).

Последний метод, который следует рассмотреть PostOrder. Сейчас этот метод принимает Order экземпляр. Но рассмотрим, что произойдет, если клиент отправляет текст запроса следующим образом:

{"Customer":"Alice","OrderDetails":[{"Quantity":1,"Product":{"Name":"Koala bears", 
"Price":5,"ActualCost":1}}]}

Это хорошо структурированный порядок, который Entity Framework, в своюмся случае, будет куда-то вставить в базу данных. Но она содержит сущность Product, которая ранее не существовала. Клиент только что создал новый продукт в нашей базе данных! Это будет неожиданным для отдела выполнения заказов, когда он увидит заказ на Koala. Мораль — это, по сути, тщательный анализ данных, принимаемых в запросе POST или Request.

Чтобы избежать этой проблемы, измените метод PostOrder для получения экземпляра OrderDTO. Для создания Orderиспользуйте OrderDTO.

var order = new Order()
{
    Customer = User.Identity.Name,
    OrderDetails = (from item in dto.Details select new OrderDetail() 
        { ProductId = item.ProductID, Quantity = item.Quantity }).ToList()
};

Обратите внимание, что мы используем свойства ProductID и Quantity и будем пропускать все значения, отправленные клиентом по названию или цене продукта. Если идентификатор продукта недействителен, он нарушает ограничение внешнего ключа в базе данных, и вставка завершится ошибкой, как это должно произойти.

Ниже приведен полный метод PostOrder.

public HttpResponseMessage PostOrder(OrderDTO dto)
{
    if (ModelState.IsValid)
    {
        var order = new Order()
        {
            Customer = User.Identity.Name,
            OrderDetails = (from item in dto.Details select new OrderDetail() 
                { ProductId = item.ProductID, Quantity = item.Quantity }).ToList()
        };

        db.Orders.Add(order);
        db.SaveChanges();

        HttpResponseMessage response = Request.CreateResponse(HttpStatusCode.Created, order);
        response.Headers.Location = new Uri(Url.Link("DefaultApi", new { id = order.Id }));
        return response;
    }
    else
    {
        return Request.CreateResponse(HttpStatusCode.BadRequest);
    }
}

Наконец, добавьте к контроллеру атрибут авторизации :

[Authorize]
public class OrdersController : ApiController
{
    // ...

Теперь только зарегистрированные пользователи могут создавать или просматривать заказы.