JSON.Net自定义契约序列化和集合

我正在尝试创建一个IContractResolver来简化我在WebApi项目上的安全处理。

我正在尝试:

我想基于一组动态条件(例如调用端点的用户角色)序列化某些对象/属性。

因此，我实现了一个自定义属性，该属性在接口的CreateProperty覆盖中检查，并将ShouldSerialize函数设置为我自己的逻辑。

我现在的问题是，是否有可能有条件地序列化某个列表中的完整对象?而不是在预处理步骤中过滤列表(如果我改变了我的对象，这很容易出错)，我希望它由当前的ContractResolver递归地处理。

在某种程度上，我试图得到这样的东西:

override void CreateObject(JSONObject ob){
if ( ob.DeclaringType == MyType)
{
   ob.ShouldSerialize = instance => {[...] }; //Custom Logic
}
}

我错过了一个覆盖，这是不可能的吗?有没有更好的方法来实际做到这一点，而不必"预解析"我所有的值?

这不是开箱即用的。如果您检查JsonSerializerInternalWriter.SerializeList()的源，您将看到没有逻辑可以跳过基于某些过滤器的集合项。

然而,

Json。. NET确实有健壮的异常处理。如果在开始序列化对象时抛出异常，然后在[OnError]回调中捕获并吞下:

如果写入数组项，数组项将被跳过(您希望的行为)。
如果写根对象，异常没有被捕获(可能是一个bug?)
否则写入null

因此，实现所需功能的一种可能性是，从自定义契约解析器添加到JsonContract.OnSerializingCallbacks的人工回调中抛出异常，然后使用添加到JsonContract.OnErrorCallbacks的处理程序捕获并吞下异常。如果与对属性值进行过滤相结合，这种方法的优点是可以保证秘密对象不能被序列化，即使它是根对象或包含在字典、动态对象或多维数组中也是如此。此方法不会干扰PreserveReferencesHandling.Arrays。

这样做的一个契约解析器如下:

sealed class JsonSkipObjectException : JsonException
{
}
public class ShouldSerializeContractResolver : DefaultContractResolver
{
    readonly Predicate<object> shouldSerialize;
    readonly SerializationCallback serializationCallback;
    readonly SerializationErrorCallback onErrorCallback;
    public ShouldSerializeContractResolver(Predicate<object> shouldSerialize)
        : base()
    {
        this.shouldSerialize = shouldSerialize;
        this.serializationCallback = (o, context) =>
            {
                if (shouldSerialize != null && !this.shouldSerialize(o))
                    throw new JsonSkipObjectException();
            };
        this.onErrorCallback = (o, context, errorContext) =>
            {
                if (errorContext.Error is JsonSkipObjectException)
                {
                    errorContext.Handled = true;
                }
            };
    }
    protected override JsonProperty CreateProperty(MemberInfo member, MemberSerialization memberSerialization)
    {
        var property = base.CreateProperty(member, memberSerialization);
        if (shouldSerialize != null)
        {
            if (property.Readable)
            {
                var oldShouldSerialize = property.ShouldSerialize;
                property.ShouldSerialize = (o) =>
                    {
                        if (oldShouldSerialize != null && !oldShouldSerialize(o))
                            return false;
                        var value = property.ValueProvider.GetValue(o);
                        if (!this.shouldSerialize(value))
                            return false;
                        return true;
                    };
            }
        }
        return property;
    }
    protected override JsonContract CreateContract(Type objectType)
    {
        var contract = base.CreateContract(objectType);
        contract.OnSerializingCallbacks.Add(serializationCallback);
        contract.OnErrorCallbacks.Add(onErrorCallback);
        return contract;
    }
}

那么一个可能的用法是:

public interface IConditionalSerialization
{
    bool ShouldSerialize();
}
public class ConditionalSerializationObject : IConditionalSerialization
{
    public bool IsSecret { get; set; }
    public string SecretProperty { get { return "should not see me"; } }
    // Ensure "normal" conditional property serialization is not broken
    public bool ShouldSerializeSecretProperty()
    {
        return false;
    }
    #region IConditionalSerialization Members
    bool IConditionalSerialization.ShouldSerialize()
    {
        return !IsSecret;
    }
    #endregion
}
public class TestClass
{
    public static void Test()
    {
        Predicate<object> filter = (o) => 
            {
                var conditional = o as IConditionalSerialization;
                return conditional == null || conditional.ShouldSerialize();
            };
        var settings = new JsonSerializerSettings
        {
            ContractResolver = new ShouldSerializeContractResolver(filter),
        };
        var ok = new ConditionalSerializationObject { IsSecret = false };
        var notOk = new ConditionalSerializationObject { IsSecret = true };
        Test(ok, settings);
        Test(new { Public = ok, Private = notOk }, settings);
        Test(new [] { ok, notOk, ok, notOk }, settings);
        Test(new[,] {{ ok, notOk, ok, notOk }}, settings);
        Test(new { Array = new[,] { { ok, notOk, ok, notOk } } }, settings);
        try
        {
            Test(notOk, settings);
        }
        catch (Exception ex)
        {
            Console.WriteLine("Exception thrown and not caught serializing root object " + notOk.GetType());
            Console.WriteLine(ex);
        }
    }
    static void Test<T>(T value, JsonSerializerSettings settings)
    {
        Console.WriteLine("Unfiltered object: ");
        Console.WriteLine(JToken.FromObject(value));
        var serializer = JsonSerializer.CreateDefault(settings);
        var token = JToken.FromObject(value, serializer);
        Console.WriteLine("Filtered object: ");
        Console.WriteLine(token);
        if (!token.SelectTokens("..IsSecret").All(t => JToken.DeepEquals(t, (JValue)false)))
        {
            throw new InvalidOperationException("token.SelectTokens("..IsSecret").All(t => JToken.DeepEquals(t, (JValue)true))");
        }
        if (token.SelectTokens("..SecretProperty").Any())
        {
            throw new InvalidOperationException("token.SelectTokens("..SecretProperty").Any()");
        }
        Console.WriteLine("Secret objects and properties were successfully filtered.");
        Console.WriteLine("");
    }
}

原型小提琴。

注意，抛出和捕获大量异常可能会影响性能。参见c#中的异常有多昂贵?您需要分析您的web应用程序，以确定这是否是一个问题。您还需要决定您的web服务在尝试序列化"秘密"根对象时是否应该返回一个异常，或者做一些不同的事情。

相关内容

最新更新

热门标签：