ASP.NET Core Web API 控制器与方法注解属性详解

实际开发中，建议显式指定绑定源以提高可读性，尽管 [ApiController] 有默认推断机制。同时，利用 [BindRequired] 和 [BindNever] 可以增强安全性，防止过度提交攻击。

[HttpPost("upload")]
public IActionResult UploadFile(
    [FromForm] IFormFile file,
    [FromForm] string description)
{
    // 处理文件上传逻辑
}

响应类型与格式

规范响应结构有助于前端对接和文档生成。[Produces] 和 [Consumes] 分别控制响应的 MIME 类型和接受的请求类型。例如，限制某个接口只接受 JSON：

[HttpPost]
[Consumes("application/json")]
public IActionResult Create([FromBody] Product product) { ... }

更推荐使用 [ProducesResponseType] 来声明具体的状态码和返回类型。这不仅明确了接口契约，还能让 Swagger UI 自动生成准确的文档。结合 [ProducesDefaultResponseType] 可统一处理未预期的错误响应。

[HttpGet("{id}")]
[ProducesResponseType(StatusCodes.Status200OK, Type = typeof(Product))]
[ProducesResponseType(StatusCodes.Status404NotFound)]
public ActionResult<Product> GetById(int id)
{
    if (id <= 0) return BadRequest("ID must be positive");
    var product = _repository.GetProduct(id);
    return product == null ? NotFound() : Ok(product);
}

授权与认证

安全是后端服务的底线。[Authorize] 是最基础的访问控制注解，可作用于整个控制器或单个方法。若需区分角色，可传入 Roles 参数；若需更复杂的策略，可使用 Policy。

[ApiController]
[Authorize]
[Route("api/[controller]")]
public class SecureController : ControllerBase
{
    // 仅允许 Administrator 角色访问
    [HttpGet("admin")]
    [Authorize(Roles = "Administrator")]
    public IActionResult AdminOnly() { ... }

    // 覆盖全局授权，允许匿名访问
    [AllowAnonymous]
    [HttpGet("public")]
    public IActionResult PublicInfo() { ... }
}

对于基于 OAuth2 的场景，Azure AD 等身份提供商常配合 [RequiredScope] 使用，确保令牌中包含必要的权限范围。

Swagger/OpenAPI 文档增强

良好的文档能降低协作成本。Swashbuckle 库提供了一系列注解来丰富 OpenAPI 描述：

• [SwaggerOperation]：设置操作摘要、描述及标签。
• [SwaggerResponse]：补充响应详情，如示例值或特定错误说明。
• [SwaggerParameter]：为参数添加必填说明或位置修正。
• [SwaggerSchema]：在模型类上定义字段描述、是否只读及示例值。

[HttpPost]
[SwaggerOperation(
    Summary = "Creates a new product",
    Description = "Requires administrator privileges.",
    OperationId = "CreateProduct",
    Tags = new[] { "Admin" })]
public ActionResult<Product> Create([FromBody] Product product)
{
    // ... 创建逻辑
}

通过组合使用这些注解，不仅能保证代码逻辑的严谨性，还能让生成的 API 文档直观易懂，极大提升团队开发效率。