odata - ASP.Net Web API OData - 消费者可以随意查询他们想要的任何内容？

Question

我刚刚阅读了有关 OData 查询的 ASP.Net Web API 支持的内容，但在协调查询过滤的外部暴露时遇到了麻烦，这实质上为集成商提供了在数据库中抛出任意查询过滤器的能力，而无需考虑最佳查询计划、不应查询的字段等等。

如何清理 OData 查询，以便用户不能直接在数据库中抛出可怕的复杂查询，这可能会导致性能问题，并且可能包含对不应执行的字段的引用？

Answer 1

我们正在考虑解决这些问题。从 Web API RC 开始，我们要求您使用 [Queryable] 显式注释您的方法。表示您想选择自动过滤行为。我们还在研究稍后将提供的其他一些可扩展性/自定义 API。

从根本上说，由于这是一个自动系统，因此需要开发人员有一定的了解才能了解所有性能/安全注意事项。从某种意义上说，这与参数模型绑定(bind)中的过度发布问题没有什么不同(例如，有人发布了一个将 IsAdmin 属性设置为 true 的 User 对象，即使您的 API 从未记录过它支持这样的属性。它恰好可以工作，因为模型您在服务器上使用的类型也具有 IsAdmin 属性)。这些问题可以通过编写特定的 DTO 对象来解决，这些对象严格控制您公开和接受哪些数据作为输入。