ASP.NET Core OData 实践——Lesson1-2查询服务文档、模型Meta和Entity数据(C#)

已于 2025-05-30 15:49:51 修改
阅读量748 收藏 11
点赞数 11
CC 4.0 BY-SA版权
分类专栏: ASP.NET Core OData 实践 文章标签: asp.net c# 后端
于 2025-05-26 03:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/breaksoftware/article/details/147994079

大纲

《Open Data Protocol理论和实践——Lesson1-1搭建服务(C#)》一文中,我们搭建了一个服务。它创建了3个Customer Entity,每个Customer Entity又有2个Order Entity。

        private static Random random = new Random();
        // 生成 3 个客户,每个客户有 2 个订单
        private static readonly List<Customer> customers = [.. Enumerable.Range(1, 3).Select(idx => new Customer
            {
                Id = idx,
                Name = $"Customer {idx}",
                Orders = [.. Enumerable.Range(1, 2).Select(dx => new Order
                    {
                        Id = (idx - 1) * 2 + dx,
                        Amount = random.Next(1, 9) * 10
                    })]
            })];

本文我们将通过Postman查询这些信息。

资源文档

一个 OData 服务会公开两个明确定义的、用于描述其数据模型的资源:服务文档(Service Document)元数据文档(Metadata Document)

服务文档(Service Document)

服务文档(Service Document)是客户端访问 OData 服务时的入口,通常通过 GET /odata/ 获取。它返回当前服务中可用的实体集(Entity Sets)函数(Functions)单例(Singletons),主要用于告诉客户端:

  • 这个 OData 服务有哪些可用的资源(如实体集、单例、函数等)
  • 每个资源的访问路径

这有助于客户端动态发现和导航 OData 服务的数据结构。

主要作用

  1. 资源发现
    告诉客户端有哪些数据集合和操作可以访问。例如,哪些实体集(如 Customers)可以被查询。
  2. 导航入口
    客户端可以根据服务文档中的信息,进一步访问具体的数据资源或元数据文档。
  3. 自描述性
    服务文档让客户端无需事先了解服务结构,就能动态发现和使用服务提供的资源。

访问方式

Request
GET http://localhost:5119/odata
Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata",
    "value": [
        {
            "name": "Customers",
            "kind": "EntitySet",
            "url": "Customers"
        }
    ]
}

这个返回结果包含了两组信息:

  • @odata.context:“http://localhost:5119/odata/$metadata”
    指向当前 OData 服务的元数据文档(metadata),描述了所有实体类型(Entity Type)实体集(Entity Set)关系(Relationship)等详细结构。客户端可以通过访问这个 URL 获取完整的服务模型定义。

  • value 数组中的对象

    • name:“Customers”
      资源的名称,这里是实体集 Customers,对应模型和控制器。
    • kind:“EntitySet”
      资源类型,这里表示这是一个实体集(EntitySet),即一组 Customer 实体。
    • url:“Customers”
      访问该资源的相对路径。完整路径为 http://localhost:5119/odata/Customers,可以通过这个地址获取所有客户数据。

元数据文档(Metadata Document)

元数据文档(Metadata Document)通常通过访问 /odata/$metadata 获取,是一个用 XML 格式描述的文档。它的主要作用是详细描述 OData 服务的数据结构和能力,包括:

  • 所有实体类型(如 Customer、Order)及其属性
  • 实体之间的关系(如导航属性(Navigation Properties))
  • 实体集(如 Customers)
  • 复杂类型、枚举类型、操作(Function/Action)等

主要用途

  1. 自描述性
    让客户端(如前端应用、第三方系统、自动化工具)能够自动了解服务的数据模型和结构,无需人工文档。
  2. 代码生成
    很多开发工具(如 Visual Studio、Postman、OData Client)可以根据元数据文档自动生成客户端代码或数据访问层。
  3. 动态查询和验证
    客户端可以根据元数据文档动态构建查询、校验字段和类型,提升兼容性和灵活性。

访问方式

Request
GET http://localhost:5119/odata/$metadata
Response
<?xml version="1.0" encoding="utf-8"?>
<edmx:Edmx Version="4.0" xmlns:edmx="http://docs.oasis-open.org/odata/ns/edmx">
    <edmx:DataServices>
        <Schema Namespace="Lesson1.Models" xmlns="http://docs.oasis-open.org/odata/ns/edm">
            <EntityType Name="Order">
                <Key>
                    <PropertyRef Name="Id" />
                </Key>
                <Property Name="Id" Type="Edm.Int32" Nullable="false" />
                <Property Name="Amount" Type="Edm.Decimal" Nullable="false" Scale="variable" />
            </EntityType>
            <EntityType Name="Customer">
                <Key>
                    <PropertyRef Name="Id" />
                </Key>
                <Property Name="Id" Type="Edm.Int32" Nullable="false" />
                <Property Name="Name" Type="Edm.String" Nullable="false" />
                <NavigationProperty Name="Orders" Type="Collection(Lesson1.Models.Order)" />
            </EntityType>
        </Schema>
        <Schema Namespace="Default" xmlns="http://docs.oasis-open.org/odata/ns/edm">
            <EntityContainer Name="Container">
                <EntitySet Name="Customers" EntityType="Lesson1.Models.Customer" />
            </EntityContainer>
        </Schema>
    </edmx:DataServices>
</edmx:Edmx>

可以看到上述返回结果中有两个Namespace。

  • Namespace="Lesson1.Models"下展示了该命名空间下的模型定义。
  • Namespace="Default"是 OData 默认生成。EntityContainer 被放在 Default 命名空间下是OData生成器的默认行为,表示“服务的根容器”属于 Default 命名空间。

EntityContainer(实体容器)是 OData 和 EDM(实体数据模型)中的一个核心概念,用于组织和管理服务中所有可访问的实体集(EntitySet)单例(Singleton)操作(Action/Function)等资源的集合。它起到如下作用:
• 资源入口:EntityContainer 是 OData 服务的“资源目录”,定义了客户端可以直接访问的所有数据集合和操作。
• 实体集注册:在例子中,EntitySet Name=“Customers” 表示有一个名为 Customers 的实体集,类型为 Lesson1.Models.Customer,客户端可以通过 /odata/Customers 访问它。
• 唯一性:每个 OData 服务通常只有一个 EntityContainer,它是服务的根级容器。

Entity数据

通过元数据文档(Metadata Document)的查询,我们知道了该服务可以查询Customers的数据,并且得知Customers的属性列表和特性(Orders是导航属性(Navigation Properties))。

查询所有数据

  • Request
GET http://localhost:5119/odata/Customers
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers",
    "value": [
        {
            "Id": 1,
            "Name": "Customer 1"
        },
        {
            "Id": 2,
            "Name": "Customer 2"
        },
        {
            "Id": 3,
            "Name": "Customer 3"
        }
    ]
}

可以发现,默认情况下导航属性(Navigation Properties)(Orders)没有返回。

排序

通过使用 $orderby 查询选项,可以为返回的结果指定自定义排序顺序 —— 既可以使用asc表示升序,也可以使用desc表示降序。$orderby查询选项接受以逗号分隔的排序列表以及对应的排序顺序。若未指定排序顺序,则默认采用升序。

  • Request
http://localhost:5119/odata/Customers?$orderby=Id desc
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers",
    "value": [
        {
            "Id": 3,
            "Name": "Customer 3"
        },
        {
            "Id": 2,
            "Name": "Customer 2"
        },
        {
            "Id": 1,
            "Name": "Customer 1"
        }
    ]
}

筛选

可以通过使用$filter查询选项指定查询的表达式。

  • Request
GET http://localhost:5119/odata/Customers?$filter=Id eq 1 or Id eq 3
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers",
    "value": [
        {
            "Id": 1,
            "Name": "Customer 1"
        },
        {
            "Id": 3,
            "Name": "Customer 3"
        }
    ]
}

指定字段

通过使用$select查询选项指定返回的属性(逗号(,)分隔多个属性)。

  • Request
GET http://localhost:5119/odata/Customers?$select=Name
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers(Name)",
    "value": [
        {
            "Name": "Customer 1"
        },
        {
            "Name": "Customer 2"
        },
        {
            "Name": "Customer 3"
        }
    ]
}

查询单个数据

  • Request
GET http://localhost:5119/odata/Customers(1)
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers/$entity",
    "Id": 1,
    "Name": "Customer 1"
}

展开导航属性(Navigation Properties)

通过使用$expand查询选项指定需要展开的导航属性(Navigation Properties)(逗号(,)分隔多个属性)。

  • Request
GET http://localhost:5119/odata/Customers(1)?$expand=Orders
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers(Orders())/$entity",
    "Id": 1,
    "Name": "Customer 1",
    "Orders": [
        {
            "Id": 1,
            "Amount": 80
        },
        {
            "Id": 2,
            "Amount": 60
        }
    ]
}

分页

$top系统查询选项用于请求将被查询集合中的一定数量的项目包含在结果中。
$skip系统查询选项用于请求跳过被查询集合中的一定数量的项目,且这些项目不包含在结果中。
客户端可以通过结合使用$top$skip来请求特定页码的项目。

  • Request
GET http://localhost:5119/odata/Customers?$top=1&skip=1
  • Response
{
    "@odata.context": "http://localhost:5119/odata/$metadata#Customers",
    "value": [
        {
            "Id": 2,
            "Name": "Customer 2"
        }
    ]
}

参考资料

12-4 Nginx漏洞复现与分析
weixin_43263566的博客
11-29 1844
CGl: CGl是一种协议,用于定义Nginx或其他Web Server传递的数据格式。CGl是一个独立的程序,与Web Server无关,可以用任何语言编写CGl程序,比如C、Perl、Python等。Fastcgi: Fastcgi:是一种协议,前身是CGI,可以简单理解为是优化版的CGI,具有更高的稳定性和性能。PHP-CGI: 只是一个PHP的解释器,本身只能解析请求并返回结果,不会做进程管理。
漏洞复现Nginx配置漏洞
Blood_Pupil的博客
03-16 2549
上述各配置漏洞对应的造成漏洞配置信息如下: CLRF #nginx.conf location / { return 302 https://$host$uri; } 目录遍历 #nginx.conf autoindex on; 目录穿越 #nginx.conf location /files { alias /home/; } add_h...
lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建
06-29
lnmp(nginx 1.20.1+mysql5.7+php5.6)环境搭建
nginx解析漏洞复现
WY92139010的博客
07-22 414
nginx解析漏洞复现 一、漏洞描述 该漏洞nginx、php版本无关,属于用户配置不当造成的解析漏洞 二、漏洞原理 1、 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php (url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如...
解决Nginx安全漏洞【CVE-2018-16844、CVE-2019-9511、CVE-2021-3618、CVE-2018-16843、CVE-2021-23017】等问题
最新发布
weixin_44554055的博客
04-27 888
Nginx安全漏洞升级方案
403 Forbidden nginx/1.20.1
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-08 6114
403 Forbidden nginx/1.20.于是查看nginx日志,路径为/var/log/nginx/error.log。打开日志发现报错Permission denied,详细报错如下: 没有权限?于是找了不少资料,可以通过下面四步排查解决此问题。你可能只是其中之前配置有问题,不一定四个步骤都用上。1.1查看nginx的启动用户,发现是nobody,而为是用root启动的 1.2将nginx.config的user改为和启动用户一致, 修改 server_name localhost;
Nginx解析漏洞复现
钟言的博客
01-28 1万+
本篇为Nginx的解析漏洞复现,详细内容包含了搭建环境 复现过程 漏洞原理及防范同时包含配置过程中出现的问题以及解决方案等等。
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
nginx漏洞复现
赵花花08042的博客
12-13 1890
vulhub漏洞环境 https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/ Nginx 解析漏洞复现 版本信息: Nginx 1.x 最新版 PHP 7.x最新版 该漏洞Nginx、php版本无关,属于用户配置不当造成的解析漏洞1、由于nginx.conf的错误配置导致nginx把以".php"结尾的文件交给fastcgi处理,为此可以构造http://172.168.30.190/uploadfiles/ha
nginx中间件漏洞复现
kukudeshuo的博客
02-22 6679
nginx中间件漏洞复现 nginx介绍 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。 其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的We
Nginx 解析漏洞复现
a1b2c3是弱口令
12-19 3586
漏洞Nginx、php版本无关,属于用户配置不当造成的解析漏洞复现环境 版本信息: Nginx 1.x 最新版 PHP 7.x最新版 解析漏洞 访问http://192.168.1.15/uploadfiles/nginx.png发现一张正常图片 http://http
NGINX-RCE:nginx的rce漏洞利用
04-04
NGINX-RCE nginx的rce漏洞利用 怎么运行呢? 首先只需使用gcc gcc expl0itz.c -o expl0itz 然后chmod chmod +x expl0itz 像二进制文件一样运行之后! ./expl0itz
Nginx 解析漏洞复现及利用
Tauil的博客
07-20 8190
Nginx解析漏洞该解析漏洞是PHPCGI的漏洞,在PHP的配置文件中有一个关键的选项cgi.fix_pathinfo默认开启,当URL中有不存在的文件,PHP就会向前递归解析在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg解析为php文件。来上传我们的文件,很显然,不给上传,东西写进去文件被破坏了,被检验出不是正常的jpg不能上传了,可能有些朋友就成功了,因为第一次的时候我是可以的,现在应该是写的内容太多了,出了问题。phpeval($_POST["cmd"]);...
nginx复现漏洞
qq_61142406的博客
05-28 1799
cve-2017-7529 原理: nginx在反向代理站点时,通常会将一些文件进行缓存,特别是静态文件,缓存部分存储在文件中,每个缓存文件包括“文件头”+“HTTP返回包头”+“HTTP返回包体”,如果二次请求命中了该缓存文件,则Nginx会直接将该文件中的“HTTP返回包体”返回给用户 在请求中包含range头,nginx将会根据指定的start和ed位置返回指定长度内容如果构造两个负位置,如(-600, -9223372036854774591),将会读取到负位置的数据,如果这次请求又命中了缓存文件,
Nginx 文件名逻辑漏洞(CVE-2013-4547)复现。 新手向。小白也能听得懂的。面向小白详细讲解。配合BurpSuite新老版本抓包。
qq_24305079的博客
06-18 1720
Nginx 文件名逻辑漏洞(CVE-2013-4547),记录一下我的学习过程,总结一下经验,希望能给后面的人提供帮助,为了复现和成功解析PHP网页我搞了很久.我这里使用了新老版本的BurpSuite去抓包,详细过程请见下文.使用的BurpSuite版本:和CentOS 7Kali 1.0.5Vulhub预防CVE-2013-4547漏洞需要从配置安全实践上进行多方面的改进。
nginx漏洞复现包含nginx介绍配置访问控制内容),是较nginx学习!_nginx 1
2501_90339668的博客
01-24 1246
​ http块: 该模块是Nginx服务器配置中的重要部分,代理、缓存和日志定义等绝大多数的功能和第三方模块的配置都可以放在这个模块中。需要注意的是http块可以包括http局块、server块 ​ locaiton块的主要作用是基于nginx服务器接收到的请求字符串(例如:www.test.com/uri-string),对虚拟主机名称 (也可以是IP)之外的字符串(例如:前面的/uri-string) 进行匹配,对特定的请求进行处理。地址定向、数据缓存和应答控制等功能,还有许多第三方模块的配置也在这里
nginx漏洞复现包含nginx介绍配置访问控制内容),是较nginx学习(1)
2401_83739727的博客
04-18 804
解释下:比如访问ip/index.htmls不出意外肯定会正常访问,那么我们输入ip/test/htmls按照第二个匹配来说应该是拒绝的,但是因为上面说的只要匹配成功就不会继续匹配后面定义的正则location,所有ip/test/htmls也会访问成功。那么如果想ip/index.htmls访问成功,而ip/test/htmls访问不成功,我们只需要让这两个location交换位置就行。
Nginx漏洞解析及复现
A526847的博客
06-05 4080
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
Nginx服务漏洞复现
m0_62389190的博客
08-10 3762
绕过服务器策略,上传webshell。
Nginx 文件名逻辑漏洞
01-23
### Nginx 文件名逻辑漏洞(CVE-2013-4547) #### 漏洞概述 Nginx 文件名逻辑漏洞(CVE-2013-4547)允许攻击者通过精心构造的 URL 请求来绕过访问控制并读取或执行受限资源。此漏洞的根本原因在于 Nginx 错误地解析了带有特定编码字符的 URL,从而导致文件路径处理不当[^1]。 #### 影响范围 该漏洞影响多个版本的 Nginx,在某些配置下可能导致未经授权的文件访问甚至远程代码执行。具体受影响的版本包括但不限于: - Nginx 1.4.x 版本系列 - Nginx 1.5.x 版本系列 (部分) 当 Web 应用程序部署于上述版本之上时,可能存在潜在风险[^3]。 #### 复现过程 为了验证这一漏洞的存在,可以通过上传一个看似无害但实际上包含恶意 PHP 代码的图片文件 `phpinfo.jpg` 来测试。一旦成功上传,攻击者能够修改 HTTP 请求中的参数使服务器错误解释文件扩展名,进而触发命令注入行为[^4]。 ```bash curl -X POST http://example.com/upload.php \ -F "file=@/path/to/phpinfo.jpg" ``` 随后发送如下请求可尝试利用漏洞: ```http GET /uploads/phpinfo.jpg%00.php?cmd=id HTTP/1.1 Host: example.com ``` 如果存在漏洞,则返回的结果会显示当前用户的 ID 信息。 #### 安全修复措施 针对 CVE-2013-4547 的防护手段主要包括以下几个方面: - **升级至最新稳定版**:官方已发布更新解决此问题,建议立即应用最新的安全补丁以消除隐患[^2]。 - **手动修补源码**:对于无法即时升级的情况,可以从官方网站下载专门为此漏洞准备的安全补丁,并按照指引完成编译安装流程。 - **加强输入校验**:无论何时都应严格过滤用户提交的数据,特别是涉及文件操作的部分,防止非法字符进入内部处理环节。 - **启用 WAF 防护**:Web Application Firewall 能够识别异常模式并阻止可疑流量到达应用程序层面上游位置。 综上所述,及时采取适当行动可以有效降低遭受此类攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值