Javascript 使用OData和IQueryable的风险_Javascript_Linq_Odata_Iqueryable_Breeze

Javascript 使用OData和IQueryable的风险

javascript linq odata breeze

Javascript 使用OData和IQueryable的风险,javascript,linq,odata,iqueryable,breeze,Javascript,Linq,Odata,Iqueryable,Breeze,我看过许多关于制作SPA（单页应用程序）的教程，其中许多教程使用了外部库，如breezejs和jaydatajs，以获得自动化的数据服务层这些库希望我公开一个IQueryable对象，它们可以查询这个对象我的问题是，从服务器公开IQueryable有什么风险？我想知道用那些js库创建这个快捷方式是否值得，或者我应该在服务器中公开我自己的函数，并在客户机中实现数据服务问题是，在公开Iqueryable时，我可以使用breezejs创建查询，以便使用类似linq的语法进行过滤和分页。如果我不使

我看过许多关于制作SPA（单页应用程序）的教程，其中许多教程使用了外部库，如breezejs和jaydatajs，以获得自动化的数据服务层

这些库希望我公开一个IQueryable对象，它们可以查询这个对象

我的问题是，从服务器公开IQueryable有什么风险？我想知道用那些js库创建这个快捷方式是否值得，或者我应该在服务器中公开我自己的函数，并在客户机中实现数据服务

问题是，在公开Iqueryable时，我可以使用breezejs创建查询，以便使用类似linq的语法进行过滤和分页。如果我不使用它，我将不得不在服务器中实现这些过滤和分页功能。并在javascript中实现对它们的调用

我希望我说得很清楚：-）

当我暴露IQueryable时，我试着做一件事。。。确保不公开EF样式的对象，始终确保在顶部有某种类型的视图模型，可以进行控制

举个例子，假设您的数据库有用户和用户机密

public class User
{
    public long UserId { get; set; }
    public string Name { get; set; }
    public virtual ICollection<UserSecret> UserSecrets { get; set; }
}

public class UserSecret
{
    public long UserSecretId { get; set; }
    public long UserId { get; set; }
    public string Secret { get; set; }
}

而是公开一个

UserViewModel

或类似的东西

public class UserViewModel
{
     public string Name { get; set; }
}

您可以通过以下方式公开

IQueryable

：

return dbContext.Users.Select(u => new UserViewModel { Name = u.Name })

最棒的是，它仍然是

IQueryable

——您仍然可以进行过滤等操作，它仍将在db级别执行，但您可以控制可以提取哪些数据（在这种情况下，

UserSecret

不再可访问）

当然，您也可以应用自己的过滤器，以避免用户无法访问不允许的数据：

return dbContext.Users.Where(u => ...).Select(u => new UserViewModel { Name = u.Name })

有一件事，我试图做的时候，暴露IQueryable。。。确保不公开EF样式的对象，始终确保在顶部有某种类型的视图模型，可以进行控制