.NET Web API 控制器及方法注解属性详解

2. 参数绑定源

默认情况下，[ApiController] 会根据类型推断参数来源，但显式标注能避免歧义并增强可读性。

• [FromBody]：从请求正文绑定，常用于 JSON/XML 对象。
• [FromQuery]：从 URL 查询字符串绑定，适合筛选条件。
• [FromRoute]：从路由模板中的 {param} 绑定。
• [FromHeader]：从 HTTP 请求头获取。
• [FromForm]：从表单数据绑定，适用于文件上传或多部分提交。
• [FromServices]：通过依赖注入容器解析服务实例。
• [BindRequired] / [BindNever]：控制绑定行为，前者强制必填，后者防止过度提交攻击。

public class UserUpdateModel
{
    public string Username { get; set; }

    [BindRequired]
    public string Email { get; set; }

    [BindNever]
    public bool IsAdmin { get; set; }
}

[HttpPost]
public IActionResult PlaceOrder(Order order, [FromServices] IOrderService service)
{
    service.ProcessOrder(order);
    return Ok();
}

[HttpPost("upload")]
public IActionResult UploadFile([FromForm] IFormFile file, [FromForm] string description)
{
    // ... 处理文件
}

3. 响应类型与格式

明确指定响应类型有助于客户端内容协商及 Swagger 文档生成。

• [Produces]：指定返回的内容类型（MIME 类型），影响 Content-Type 头。
• [Consumes]：指定接受的内容类型，不匹配则返回 415。
• [ProducesResponseType]：强烈推荐。声明特定状态码对应的响应类型，对 Swagger 文档至关重要。
• [ProducesDefaultResponseType]：设置默认错误响应类型（如 500 错误）。

[HttpDelete("{id}")]
[ProducesResponseType(StatusCodes.Status204NoContent)]
[ProducesResponseType(StatusCodes.Status404NotFound)]
[ProducesDefaultResponseType(typeof(ProblemDetails))]
public IActionResult Delete(int id)
{
    try
    {
        // ... 删除逻辑
        return NoContent();
    }
    catch (NotFoundException)
    {
        return NotFound();
    }
}

[HttpPost]
[ProducesResponseType(StatusCodes.Status201Created, Type = typeof(Product))]
[ProducesResponseType(StatusCodes.Status400BadRequest, Type = typeof(ValidationProblemDetails))]
public async Task<ActionResult<Product>> Create([FromBody] Product product)
{
    if (!ModelState.IsValid)
        return BadRequest(ModelState);

    var createdProduct = await _repository.AddProductAsync(product);
    return CreatedAtAction(nameof(GetById), new { id = createdProduct.Id }, createdProduct);
}

4. 授权与认证

安全控制主要通过 Microsoft.AspNetCore.Authorization 命名空间实现。

• [Authorize]：要求用户已登录。可指定角色（Roles）或策略（Policy）。
• [AllowAnonymous]：允许匿名访问，常用于登录注册接口。
• [RequiredScope]：用于 OAuth2/OIDC，要求令牌包含特定作用域。

// Startup.cs 配置示例
services.AddAuthorization(options =>
{
    options.AddPolicy("Over18", policy => 
        policy.RequireAssertion(context => context.User.HasClaim(c => c.Type == "Age" && int.Parse(c.Value) >= 18)));
});

// Controller 中使用
[HttpDelete("{id}")]
[Authorize(Policy = "Over18")]
public IActionResult Delete(int id) { ... }

[ApiController]
[Authorize]
[Route("api/[controller]")]
public class SecureController : ControllerBase
{
    [HttpGet("admin")]
    [Authorize(Roles = "Administrator")]
    public IActionResult AdminOnly() { ... }

    [AllowAnonymous]
    [HttpGet("public")]
    public IActionResult PublicInfo() { ... }
}

5. Swagger/OpenAPI 文档增强

为了生成更友好的 API 文档，可以使用 Swashbuckle 提供的注解。

• [SwaggerOperation]：设置摘要、描述和操作 ID。
• [SwaggerResponse]：补充响应细节，常与 [ProducesResponseType] 搭配。
• [SwaggerParameter]：为参数添加描述或强制标记为必需。
• [SwaggerSchema]：修饰模型类或属性，提供示例值、只读标识等。

public class Product
{
    [SwaggerSchema("产品唯一标识", ReadOnly = true)]
    public int Id { get; set; }

    [Required]
    [SwaggerSchema("产品名称", Example = "iPhone 13")]
    public string Name { get; set; }
}

[HttpGet("search")]
public IActionResult Search(
    [FromQuery, SwaggerParameter("搜索关键词", Required = true)] string name,
    [FromQuery] decimal? minPrice)
{
    // ... 搜索逻辑
}

[HttpPost]
[SwaggerOperation(
    Summary = "创建新产品",
    Description = "需要管理员权限，返回新资源 ID",
    OperationId = "CreateProduct",
    Tags = new[] { "Admin" })]
public ActionResult<Product> Create([FromBody] Product product)
{
    // ... 创建逻辑
}

掌握这些注解不仅能减少样板代码，还能让接口契约更加清晰，极大提升团队协作效率。在实际项目中，建议结合 [ApiController] 的全局约定，按需细化每个端点的行为。