SaveChanges(更新、删除)的 EF Core 全局查询过滤器
EF Core Global Query Filter for SaveChanges (Update, Delete)
TL;DR;
当您调用 SaveChanges 时,是否可以使用 EF Core 将查询过滤器应用于生成的 UPDATE 和 DELETE 语句的 WHERE 子句? (非常类似于仅适用于 SELECT 场景的 Global query filters。)
Global query filters 通过在生成的 SELECT 语句的 WHERE 子句中添加额外的条件来很好地适用于 SELECT 场景,但它们对 UPDATE 和 DELETE 语句,当您调用 DbContext 的 SaveChanges 方法时,我想知道是否可以将查询过滤器应用于生成的 UPDATE 和 [= 的 WHERE 子句调用 SaveChanges 时使用 EF Core 的 14=] 语句? HasQueryFilter 对 SELECT 语句的工作方式相同。
我将在小型应用程序中的多租户场景中使用此类功能,我能够在其他层处理此要求,或者通过重写 SaveChanges 并检查删除或修改的实体是否属于正确的租客;但是,出于性能和安全方面的考虑,我更喜欢查询过滤器方法。
更多上下文
查询过滤器的常见场景之一是多租户。应保护租户的数据不被其他租户读取和修改:
- 另一个租户的阅读:使用
HasQueryFilter 注册全局查询过滤器效果很好。
- 其他租户修改:如何在EF DbContext中进行?
您可以在 GitHub 上查看 query filters on Microsoft Docs or their sample code。
为什么我要寻找更新和删除的查询过滤器?
主要原因是:
- 性能考虑
- 安全考虑
毕竟,我们有针对 SELECT 语句的查询过滤器,为什么我们不应该有针对 UPDATE 和 DELETE 的查询过滤器?
性能考虑
我能够在其他层处理此要求,例如 API、DAL、BLL 或通过覆盖 SaveChanges 并检查删除或修改的实体是否属于正确的租户;我不喜欢在 BLL 或 SaveChanges 中这样做的主要原因是性能。 WHERE 子句将在数据库服务器端进行评估,它安全且性能高,与全局查询过滤器非常相似。
例如,对于删除场景,一个明显的答案可能是这样的:
var entity = db.BlogPosts.Find(id);
if(entity!=null)
db.Entry(entity).State = EntityState.Deleted;
db.SaveChanges();
这基本上是一个 SELECT,然后是一个 DELETE。
但是,我更喜欢这样删除,这只是一个 DELETE 语句:
db.Entry(new BlogPost() { Id = id }).State = EntityState.Deleted;
db.SaveChanges();
安全注意事项
另一件事是,首先,这些实体不一定在 DbContext.Entries 中有 TenantId。另一方面,即使他们的 TenantId 有一个值,该值也不可靠,因为它可能已被更改。 BlogPost.Id = 2可能属于租户2,而租户1正在尝试修改或删除它。
Modification by another tenant: How to do it in EF DbContext?
您可以覆盖 SaveChanges() 并验证所有实体是否属于正确的租户。
Update: There is no built-in support for this at the moment, however I've booked an issue/feature suggestion in EF Core repository. It may be implemented in future as part of batch operation scenarios or as an improvement to SaveChanges. You may want to share your idea about the feature there.
我找不到任何像更新和删除语句的全局查询过滤器一样工作的内置功能。
一个选项,对update和delete语句应用全局查询过滤器,可以考虑Command Interceptors。它们允许您在执行之前修改命令,例如向命令文本添加查询过滤器。
例如,以下代码显示了如何修改 UPDATE 或 DETELE 语句并添加像 WHERE TenantId = @__TenantId__ AND 这样的子句。这样,您可以确定更新或删除数据属于租户,租户不能修改或删除其他租户的数据。
为此,创建一个DbCommandInterceptor来拦截更新和删除命令:
public class BlogPostsCommandInterceptor : DbCommandInterceptor
{
ITenantProvider tenantProvider;
public BlogPostsCommandInterceptor(ITenantProvider tenantProvider)
{
this.tenantProvider = tenantProvider;
}
public override InterceptionResult<DbDataReader> ReaderExecuting(
DbCommand command, CommandEventData eventData,
InterceptionResult<DbDataReader> result) {
ModifyCommand(command);
return base.ReaderExecuting(command, eventData, result);
}
public override ValueTask<InterceptionResult<DbDataReader>> ReaderExecutingAsync(
DbCommand command, CommandEventData eventData,
InterceptionResult<DbDataReader> result,
CancellationToken cancellationToken = default) {
ModifyCommand(command);
return base.ReaderExecutingAsync(command, eventData, result, cancellationToken);
}
private void ModifyCommand(DbCommand command) {
if (command.CommandText.StartsWith("UPDATE \"BlogPosts\"") ||
command.CommandText.StartsWith("DELETE FROM \"BlogPosts\""))
{
var parameter = command.CreateParameter();
parameter.ParameterName = "@__TenantId__";
parameter.Value = tenantProvider.GetTenantId();
command.Parameters.Add(parameter);
command.CommandText = command.CommandText.Replace("WHERE",
$"WHERE (\"TenantId\" = {parameter.ParameterName}) AND ");
}
}
}
注册拦截器:
protected override void OnConfiguring(
DbContextOptionsBuilder optionsBuilder)
{
optionsBuilder.AddInterceptors(
new BlogPostsCommandInterceptor(tenantProvider));
}
这不是我要找的东西;但无论如何,它可能对其他人有所启发;我很乐意收到更好的选择,回答最初的问题。
TL;DR;
当您调用 SaveChanges 时,是否可以使用 EF Core 将查询过滤器应用于生成的 UPDATE 和 DELETE 语句的 WHERE 子句? (非常类似于仅适用于 SELECT 场景的 Global query filters。)
Global query filters 通过在生成的 SELECT 语句的 WHERE 子句中添加额外的条件来很好地适用于 SELECT 场景,但它们对 UPDATE 和 DELETE 语句,当您调用 DbContext 的 SaveChanges 方法时,我想知道是否可以将查询过滤器应用于生成的 UPDATE 和 [= 的 WHERE 子句调用 SaveChanges 时使用 EF Core 的 14=] 语句? HasQueryFilter 对 SELECT 语句的工作方式相同。
我将在小型应用程序中的多租户场景中使用此类功能,我能够在其他层处理此要求,或者通过重写 SaveChanges 并检查删除或修改的实体是否属于正确的租客;但是,出于性能和安全方面的考虑,我更喜欢查询过滤器方法。
更多上下文
查询过滤器的常见场景之一是多租户。应保护租户的数据不被其他租户读取和修改:
- 另一个租户的阅读:使用
HasQueryFilter注册全局查询过滤器效果很好。 - 其他租户修改:如何在EF DbContext中进行?
您可以在 GitHub 上查看 query filters on Microsoft Docs or their sample code。
为什么我要寻找更新和删除的查询过滤器?
主要原因是:
- 性能考虑
- 安全考虑
毕竟,我们有针对 SELECT 语句的查询过滤器,为什么我们不应该有针对 UPDATE 和 DELETE 的查询过滤器?
性能考虑
我能够在其他层处理此要求,例如 API、DAL、BLL 或通过覆盖 SaveChanges 并检查删除或修改的实体是否属于正确的租户;我不喜欢在 BLL 或 SaveChanges 中这样做的主要原因是性能。 WHERE 子句将在数据库服务器端进行评估,它安全且性能高,与全局查询过滤器非常相似。
例如,对于删除场景,一个明显的答案可能是这样的:
var entity = db.BlogPosts.Find(id);
if(entity!=null)
db.Entry(entity).State = EntityState.Deleted;
db.SaveChanges();
这基本上是一个 SELECT,然后是一个 DELETE。
但是,我更喜欢这样删除,这只是一个 DELETE 语句:
db.Entry(new BlogPost() { Id = id }).State = EntityState.Deleted;
db.SaveChanges();
安全注意事项
另一件事是,首先,这些实体不一定在 DbContext.Entries 中有 TenantId。另一方面,即使他们的 TenantId 有一个值,该值也不可靠,因为它可能已被更改。 BlogPost.Id = 2可能属于租户2,而租户1正在尝试修改或删除它。
Modification by another tenant: How to do it in EF DbContext?
您可以覆盖 SaveChanges() 并验证所有实体是否属于正确的租户。
Update: There is no built-in support for this at the moment, however I've booked an issue/feature suggestion in EF Core repository. It may be implemented in future as part of batch operation scenarios or as an improvement to SaveChanges. You may want to share your idea about the feature there.
我找不到任何像更新和删除语句的全局查询过滤器一样工作的内置功能。
一个选项,对update和delete语句应用全局查询过滤器,可以考虑Command Interceptors。它们允许您在执行之前修改命令,例如向命令文本添加查询过滤器。
例如,以下代码显示了如何修改 UPDATE 或 DETELE 语句并添加像 WHERE TenantId = @__TenantId__ AND 这样的子句。这样,您可以确定更新或删除数据属于租户,租户不能修改或删除其他租户的数据。
为此,创建一个DbCommandInterceptor来拦截更新和删除命令:
public class BlogPostsCommandInterceptor : DbCommandInterceptor
{
ITenantProvider tenantProvider;
public BlogPostsCommandInterceptor(ITenantProvider tenantProvider)
{
this.tenantProvider = tenantProvider;
}
public override InterceptionResult<DbDataReader> ReaderExecuting(
DbCommand command, CommandEventData eventData,
InterceptionResult<DbDataReader> result) {
ModifyCommand(command);
return base.ReaderExecuting(command, eventData, result);
}
public override ValueTask<InterceptionResult<DbDataReader>> ReaderExecutingAsync(
DbCommand command, CommandEventData eventData,
InterceptionResult<DbDataReader> result,
CancellationToken cancellationToken = default) {
ModifyCommand(command);
return base.ReaderExecutingAsync(command, eventData, result, cancellationToken);
}
private void ModifyCommand(DbCommand command) {
if (command.CommandText.StartsWith("UPDATE \"BlogPosts\"") ||
command.CommandText.StartsWith("DELETE FROM \"BlogPosts\""))
{
var parameter = command.CreateParameter();
parameter.ParameterName = "@__TenantId__";
parameter.Value = tenantProvider.GetTenantId();
command.Parameters.Add(parameter);
command.CommandText = command.CommandText.Replace("WHERE",
$"WHERE (\"TenantId\" = {parameter.ParameterName}) AND ");
}
}
}
注册拦截器:
protected override void OnConfiguring(
DbContextOptionsBuilder optionsBuilder)
{
optionsBuilder.AddInterceptors(
new BlogPostsCommandInterceptor(tenantProvider));
}
这不是我要找的东西;但无论如何,它可能对其他人有所启发;我很乐意收到更好的选择,回答最初的问题。