ASP.NET学习笔记，核心知识点解析与疑问解答？

ASP.NET学习笔记

一、基础概念

ASP.NET是微软推出的一个强大的Web开发框架，它允许开发者使用C#等编程语言构建动态的、数据驱动的Web应用程序，ASP.NET提供了丰富的功能和工具，包括页面处理、数据库访问、身份验证、授权等，使得开发高效、安全、可扩展的Web应用成为可能。

二、开发环境搭建

安装Visual Studio

Visual Studio是开发ASP.NET应用的首选IDE（集成开发环境），它提供了代码编辑、调试、项目管理等多种功能，安装时，建议选择包含.NET桌面开发、ASP.NET和Web开发等组件的工作负载。

创建项目

在Visual Studio中，通过“文件”->“新建”->“项目”，选择“ASP.NET Core Web应用程序”或“ASP.NET Web应用程序”（取决于你使用的是.NET Core还是.NET Framework），然后选择合适的模板（如MVC、Web API等）开始新项目。

三、核心概念与技术

MVC模式

MVC（Model-View-Controller）是一种设计模式，用于将应用程序的逻辑、数据和界面分离，在ASP.NET MVC中：

Model：代表应用程序的数据和业务逻辑。

View：负责展示数据给用户，通常以HTML、CSS等形式呈现。

Controller：处理用户输入，更新模型，并选择视图来显示数据。

Razor页面

Razor是一种服务器端标记语言，用于生成动态网页内容，它允许你在HTML中嵌入C#代码，通过@符号引入变量和代码块。

<!DOCTYPE html>
<html>
<head>
    <title>Hello, World!</title>
</head>
<body>
    <h1>Hello, @Model.Name!</h1>
</body>
</html>

在这个例子中，@Model.Name会被替换为模型中的实际值。

路由

路由是定义URL与控制器动作之间映射的规则，在ASP.NET MVC中，通过在Startup.cs文件中配置路由表来管理这些映射。

app.UseMvc(routes =>
{
    routes.MapRoute(
        name: "default",
        template: "{controller=Home}/{action=Index}/{id?}");
});

这行代码定义了一个默认路由，当用户访问根URL时，会调用HomeController的Index方法。

依赖注入

依赖注入（DI）是一种设计模式，用于实现类之间的松耦合，在ASP.NET Core中，通过在Startup.cs的ConfigureServices方法中注册服务来实现DI。

public void ConfigureServices(IServiceCollection services)
{
    services.AddScoped<IMyService, MyService>();
}

这样，当需要使用IMyService接口时，框架会自动注入MyService类的实例。

四、数据库操作

1. Entity Framework Core

Entity Framework Core是ASP.NET Core推荐使用的ORM（对象关系映射）工具，它简化了数据库操作，以下是一个简单的示例：

（1）定义模型

public class Student
{
    public int Id { get; set; }
    public string Name { get; set; }
}

（2）配置DbContext

public class SchoolContext : DbContext
{
    public DbSet<Student> Students { get; set; }
    protected override void OnConfiguring(DbContextOptionsBuilder optionsBuilder)
    {
        optionsBuilder.UseSqlServer("Your_Connection_String_Here");
    }
}

（3）执行数据库操作

using (var context = new SchoolContext())
{
    context.Students.Add(new Student { Name = "John Doe" });
    context.SaveChanges();
}

这段代码创建了一个新的学生记录并保存到数据库中。

ADO.NET

对于不使用Entity Framework的情况，可以直接使用ADO.NET进行数据库操作，以下是一个简单的示例：

string connectionString = "Your_Connection_String_Here";
using (SqlConnection connection = new SqlConnection(connectionString))
{
    connection.Open();
    string sql = "SELECT  FROM Students";
    SqlCommand command = new SqlCommand(sql, connection);
    using (SqlDataReader reader = command.ExecuteReader())
    {
        while (reader.Read())
        {
            Console.WriteLine($"{reader["Id"]}, {reader["Name"]}");
        }
    }
}

这段代码连接到数据库，执行SQL查询，并读取结果集中的每一行数据。

五、安全性考虑

身份验证与授权

ASP.NET提供了多种身份验证和授权机制，如表单身份验证、Windows身份验证、OAuth等，通过配置Startup.cs中的中间件和服务，可以实现对用户的身份验证和权限控制，使用JWT（JSON Web Tokens）进行无状态的身份验证：

services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidIssuer = "your_issuer",
        ValidAudience = "your_audience",
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key"))
    };
});

这段代码配置了JWT身份验证，要求客户端在请求中包含有效的JWT才能访问受保护的资源。

防止常见攻击

SQL注入：使用参数化查询或ORM工具来避免直接拼接SQL字符串。

跨站脚本（XSS）：对用户输入进行编码和过滤，确保输出到页面的内容是安全的。

跨站请求伪造（CSRF）：使用AntiForgeryToken等机制来验证请求的来源。

六、日志记录与监控

日志记录

ASP.NET提供了多种日志记录方式，如使用内置的日志框架或第三方库（如NLog、Serilog等），通过配置日志记录器，可以记录应用程序的运行状态、错误信息等，便于后期分析和调试，使用NLog记录日志：

public class Startup
{
    public void Configure()
    {
        // 其他配置...
        LogManager.LoadConfiguration("NLog.config");
    }
}

并在NLog.config文件中定义日志规则和目标。

性能监控

ASP.NET还支持集成各种性能监控工具，如Application Insights，它可以帮助你收集有关应用程序性能、异常、用户行为等方面的数据，以便及时发现和解决问题，在Startup.cs中添加Application Insights服务：

public void ConfigureServices(IServiceCollection services)
{
    services.AddApplicationInsightsTelemetry(Configuration);
}

然后在配置文件中设置InstrumentationKey即可开始收集数据。

七、部署与发布

本地测试环境

在开发过程中，可以使用IIS Express作为本地测试服务器，它随Visual Studio一起安装，方便快速启动和调试ASP.NET应用，只需在项目属性中设置启动选项为“IIS Express”即可。

生产环境部署

对于生产环境，可以选择将ASP.NET应用部署到IIS（Internet Information Services）上，或者使用更现代的方式，如Docker容器化部署，以下是将应用部署到IIS的基本步骤：

发布项目：在Visual Studio中右键点击项目，选择“发布”，然后选择目标文件夹或直接发布到IIS。

配置IIS：在IIS管理器中创建新的网站，指向发布的文件夹，并配置绑定（如主机名、端口等），确保应用程序池设置为正确的.NET版本。

检查权限：确保IIS用户对发布文件夹有足够的读写权限。

测试访问：在浏览器中输入网站的URL，检查是否能够正常访问。

八、常见问题及解决策略

调试问题

无法启动调试：检查调试器是否已正确附加到进程，尝试重启Visual Studio和IIS Express。

断点不被命中：确保编译模式为Debug，且源代码与PDB文件匹配，尝试清理解决方案并重新编译。

查看详细错误信息：利用ASP.NET的内置错误页面或自定义错误处理机制，获取更多关于错误的上下文信息。

性能优化

减少数据库查询次数：使用缓存、批量操作等方式减少对数据库的频繁访问。

压缩静态资源：启用HTTP压缩（如Gzip）来减小传输的文件大小。

异步编程：利用async/await关键字编写异步代码，提高应用程序的响应性。

安全问题修复

及时更新依赖库：定期检查并更新项目中使用的第三方库，以修复已知的安全破绽。

实施安全最佳实践：如使用强密码哈希算法存储用户密码，限制登录尝试次数以防止暴力破解等。