ASP.NET Core Web API 控制器与 Action 常用注解详解

示例：

[AcceptVerbs("GET", "HEAD")]
public IActionResult GetInfo(int id)
{
    // 响应 GET 和 HEAD 请求
    return Ok();
}

示例：

[ApiController]
[Route("api/[controller]")] // 控制器级路由，必须属性路由
public class ProductsController : ControllerBase
{
    [HttpGet] // 映射到 GET api/products
    public IEnumerable<Product> GetAll()
    {
        return new List<Product>();
    }

    [HttpGet("{id}")] // 映射到 GET api/products/5
    public ActionResult<Product> GetById(int id)
    {
        return NotFound();
    }

    [HttpPost("create")] // 映射到 POST api/products/create
    public IActionResult CreateProduct([FromBody] Product product)
    {
        return CreatedAtAction(nameof(GetById), new { id = 1 }, product);
    }

    [HttpPut("{id}")] // 映射到 PUT api/products/5
    public IActionResult UpdateProduct(int id, [FromBody] Product product)
    {
        return NoContent();
    }

    [HttpDelete("{id}")] // 映射到 DELETE api/products/5
    public IActionResult DeleteProduct(int id)
    {
        return NoContent();
    }
}

2. 参数绑定源

明确告诉框架去哪里找数据，是防止参数解析错误的最佳实践。这些属性同样位于 Microsoft.AspNetCore.Mvc 命名空间。

• [FromBody]： 指示参数从 HTTP 请求正文绑定，常用于 JSON/XML 对象。在 [ApiController] 下，复杂类型默认即为此来源。
• [FromQuery]： 从 URL 查询字符串绑定，适合分页、筛选等简单参数。
• [FromRoute]： 从 URL 路由数据绑定，对应 {param} 占位符。
• [FromHeader]： 从 HTTP 请求头绑定，常用于版本控制或客户端标识。
• [FromForm]： 从表单数据绑定，适用于 multipart/form-data 文件上传。
• [FromServices]： 通过依赖注入容器解析服务，而非从请求绑定。
• [BindRequired] / [BindNever]： 前者标记参数为必填，后者完全忽略该参数，常用于防止过度提交攻击。

示例：

public class UserUpdateModel
{
    public string Username { get; set; }

    [BindRequired] // 更新时必须提供 Email
    public string Email { get; set; }

    [BindNever] // 防止客户端设置 IsAdmin 属性
    public bool IsAdmin { get; set; }
}

示例：

[HttpPost]
public IActionResult PlaceOrder(Order order, [FromServices] IOrderService orderService)
{
    orderService.ProcessOrder(order);
    return Ok();
}

示例：

[HttpPost("upload")]
public IActionResult UploadFile([FromForm] IFormFile file, [FromForm] string description)
{
    // 处理文件上传逻辑
    return Ok();
}

3. 响应类型与格式

规范响应内容类型和状态码，能让前端调用更清晰，也利于 Swagger 文档生成。

• [Produces]： 指定 Action 返回的 MIME 类型（如 application/json）。影响 Content-Type 响应头。
• [Consumes]： 指定 Action 接受的请求内容类型。若不匹配，框架返回 415 Unsupported Media Type。
• [ProducesResponseType]： 强烈推荐！ 明确声明方法可能返回的状态码及类型。这对 Swagger 文档至关重要，也能让阅读代码的人一目了然。
• [ProducesDefaultResponseType]： 当未匹配其他状态码时，指定默认响应类型，常用于捕获服务器异常。

示例：

[HttpDelete("{id}")]
[ProducesResponseType(StatusCodes.Status204NoContent)] // 删除成功
[ProducesResponseType(StatusCodes.Status404NotFound)] // 找不到资源
[ProducesDefaultResponseType(typeof(ProblemDetails))] // 其他错误
public IActionResult Delete(int id)
{
    try
    {
        // 删除逻辑
        return NoContent();
    }
    catch (NotFoundException)
    {
        return NotFound();
    }
}

示例：

[HttpGet("{id}")]
[ProducesResponseType(StatusCodes.Status200OK, Type = typeof(Product))]
[ProducesResponseType(StatusCodes.Status404NotFound)]
[ProducesResponseType(StatusCodes.Status400BadRequest)]
public ActionResult<Product> GetById(int id)
{
    if (id <= 0) return BadRequest("ID must be positive");
    var product = _repository.GetProduct(id);
    if (product == null) return NotFound();
    return product;
}

4. 授权与认证

安全是 API 的生命线，相关属性位于 Microsoft.AspNetCore.Authorization 命名空间。

• [Authorize]： 要求用户登录。未认证返回 401 Unauthorized。可作用于控制器或方法。
• [AllowAnonymous]： 允许匿名访问，通常用于登录注册接口，覆盖控制器的 [Authorize]。
• [Authorize(Policy = "...")]： 使用自定义授权策略，支持复杂的业务规则（如年龄限制、特定声明）。
• [RequiredScope]： 用于 Azure AD 等 OAuth2 场景，要求令牌包含特定作用域。

示例：

[ApiController]
[Authorize] // 整个控制器需要登录
[Route("api/[controller]")]
public class SecureController : ControllerBase
{
    [HttpGet("userinfo")]
    public IActionResult GetUserInfo() { ... }

    [HttpGet("admin")]
    [Authorize(Roles = "Administrator")] // 需要登录且角色为 Administrator
    public IActionResult AdminOnly() { ... }
}

[AllowAnonymous] // 覆盖控制器的 [Authorize]
[HttpGet("public")]
public IActionResult PublicInfo() { ... }

5. Swagger/OpenAPI 文档增强

为了让生成的文档更友好，可以使用 Swashbuckle.AspNetCore.Annotations 库中的注解。

• [SwaggerOperation]： 添加摘要和详细描述，支持自定义 OperationId 和 Tags。
• [SwaggerResponse]： 替代或补充 [ProducesResponseType]，提供更详细的响应描述和示例。
• [SwaggerParameter]： 为参数添加描述，覆盖默认推断的必需性。
• [SwaggerSchema]： 应用于模型类或属性，提供 Schema 额外信息（如只读、示例值）。

示例：

public class Product
{
    [SwaggerSchema("The unique identifier of the product", ReadOnly = true)]
    public int Id { get; set; }

    [Required]
    [SwaggerSchema("The name of the product", Example = "Apple iPhone 13")]
    public string Name { get; set; }
}

示例：

[HttpPost]
[SwaggerOperation(
    Summary = "Creates a new product",
    Description = "Requires administrator privileges.",
    OperationId = "CreateProduct",
    Tags = new[] { "Admin" })]
public ActionResult<Product> Create([FromBody] Product product)
{
    return Ok(product);
}