Ограничение получения данных с использованием API

@leontjev · Регистрация: 02.12.2013

Студворк — интернет-сервис помощи студентам

Как лучше всего сделать ограничения получения данных с помощью API, например есть метод в контроллере

C#
1
2
3
4
5
6
7
8
public async Task<ActionResult<IEnumerable<Models.Notes>>> GetNotes()
        {
          if (_context.Notes == null)
          {
              return NotFound();
          }
            return await _context.Notes.ToListAsync();
        }

Он вернет все данные из таблицы

C#
1
2
3
4
5
6
  public class Notes
    {
        public int Id { get; set; }
        public string? Text { get; set; }      
        public User User { get; set; }        
    }

Но хотелось бы чтобы он возвращал только данные определенного User, который желательно как-то будет связан с тем кто делает запрос, думаю токен может для конкретного User'a будет, но подобных решений не нашел, поэтому кажется это неверным.
Он конечно может передавать логин/пароль User'а того чьи данные получает, но это тоже кажется не совсем верным или безопасным способом.

User определен с помощью Identity

C#
1
2
3
4
5
using Microsoft.AspNetCore.Identity;
public class User : IdentityUser 
{
public List<Notes> Notes { get; set; } = new List<Notes>();
}

@Dr9vik · 07.06.2023, 01:04

Сообщение от leontjev

Он вернет все данные из таблицы

открываю тайну
можно не все данные возвращать

@kotelok · 07.06.2023, 12:50

leontjev

В рамках каждого запроса есть свой экземпляр 'HttpContext'. Получить его можно разными способами (в зависимости от окружения). Внутри он содержит информацию об аутентификации пользователя (или не содержит, если пользователь не аутентифицирован и пришёл как анонимный, ну или если у вас не настроен мидлвар аутентификации).
https://learn.microsoft.com/en... etcore-7.0

Достаёте оттуда информацию о пользователе.
И используете её в доп-фильтре при выборке данных.

И вот эта странная конструкция какой смысл несёт с точки зрения пользователя вашего API?

C#
1
2
3
4
  if (_context.Notes == null)
  {
      return NotFound();
  }

А если не 'null', а пустая коллекция?
А если не 'null' и не пустая коллекция, но именно этому пользователю (после фильтра по логину) доступно ноль записей?

Обычно в подобных ситуациях просто возвращают пустую коллекцию и 200-OK.

А код 404-NotFound обычно выдают при обращении к конкретному айтему по ID, если он не найден:

Code
1
[GET/PUT/PATCH/DELETE] /api/notes/42

@aenye · 07.06.2023, 19:49

leontjev,

C#
1
2
3
return await _context.Notes.AsNoTracking()
    .Where(note => note.User.Id == userId)
    .ToListAsync(cancellationToken);

userId можно получить из Claims через HttpContext, как об этом выше написал kotelok, или отправить параметром запроса.

@leontjev · 08.06.2023, 15:48 **[ТС]**

kotelok, то есть нужно еще добавить api на авторизацию? Если api использовать из какого-то приложения тоже самописного аутентификация будет работать также как через браузер? Или тогда и в это приложение на том же c#, к примеру, обязательно нужно какие-то особенные компоненты добавлять для поддержки аутентификации?

@kotelok · 08.06.2023, 17:38

Сообщение от leontjev

то есть нужно еще добавить api на авторизацию

При обращении к API добавляется HTTP-заголовок 'Authorization'.
Который содержит имя схемы и какой-то ключ.
Это может быть абсолютно что угодно:
1. Логин/пароль в base64 (basic).
2. Какой-нибудь API-ключ при межсервисном взаимодействии.
3. Какой-то токен (например, JWT).

Далее, вы реализуете (или подключаете готовое решение) мидлвар, который умеет обрабатывать выбранную схему. Он проверяет токен/пароль/ключ, проверяет их корректность/целостность/допустимость для данного API, извлекает из токена (или из какого-то вашего хранилища) информацию о пользователе и инициализирует аутентификационную информацию в экземпляре HttpContext данного подключения. Ну и так же проставляет флаг, прошёл пользователь проверку или анонимно пропущен.

В случае с JWT, сам токен можно получать на каком-то стороннем сервисе аутентификации, который проверяет логин/пароль и выдаёт токен. В случае же с basic-аутентификацией - это просто логин/пароль.

Далее уже, после мидлвара авторизации, на всех следующих уровнях (контроллеры, другие мидлвары, сервисы), вы можете через HttpContext получать информацию о пользователе, который выполняет этот запрос, о том прошёл он проверку или нет, и на основании этого выстраивать какую-то бизнес-логику.

@Usaga · 09.06.2023, 06:31

Сообщение от leontjev

if (_context.Notes == null)
{
return NotFound();
}

В чём логика такой проверки и такого ответа контроллера?)

Новые блоги и статьи Все статьи Все блоги /
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Рецензия / Мнение Это мой обзор планшета X220 с точки зрения школьника. Недавно я решила попытаться уменьшить свой. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .

@leontjev 1 / 1 / 0 Регистрация: 02.12.2013 Сообщений: 44
	08.06.2023, 15:48 [ТС]
	kotelok, то есть нужно еще добавить api на авторизацию? Если api использовать из какого-то приложения тоже самописного аутентификация будет работать также как через браузер? Или тогда и в это приложение на том же c#, к примеру, обязательно нужно какие-то особенные компоненты добавлять для поддержки аутентификации? 0