余小章 @ 大內殿堂

開發公開 API 時，防範惡意濫用是不可或缺的一環。本文將探討如何運用 ASP.NET Core 建構安全防護機制，為允許匿名存取的 Web API 提供堅實保障。

續上篇 .NET 9 HybridCache 實戰，我們已介紹 Server\-Side 的快取架構（L1 記憶體快取、L2 分散式快取）。本篇將聚焦在 Client-Side 的快取機制（HTTP Cache）：透過正確設定 HTTP 標頭，讓瀏覽器優先使用本地快取，降低伺服器負載並提升使用者體驗。

本篇會以實作程式碼示範各種 Cache-Control 指令的行為差異與適用情境。

在 .NET Core 定義了兩種快取，本機快取(IMemoryCache)；分散式快取(IDistributedCache)，用於將快取資料儲存於外部儲存裝置中（如 Redis、SQL Server 或其他分散式快取提供者），使用上沒有甚麼太特別的，單純的記錄下。

Exception 是微軟預設中斷流程的手段，要控制好流程就要好好的處理例外，也就是寫 try catch，這會讓流程控制的程式碼看起來很凌亂。於是我需要幾個原則

1. 被流程所呼叫的方法都要處理好 Exception/錯誤(根據需求場景，例如：找不到某個資料) 並回傳 Failure 物件
2. 若有攔截到 Exception，Failure 物件要裝載 Exception 訊息，並且給予該例外正確的錯誤訊息。
3. 盡量在最外層紀錄 Failure 日誌，例如，Controller、Application Layer
4. Web API 回傳值不可以包含 Exception

以上是我的原則，在你的團隊裡面應該也有自己的錯誤處理機制；接下來，我用 ASP.NET Core Web API 實際的演練一遍

微軟一直以來都有提供 Model Validation 讓我們更容易的進行前置條件檢查，這次我想要在 ASP.NET Core Web API 回傳一致性的錯誤結構，捨棄預設錯誤的結構，接下來我將演練 Model Validation 以及 FluentValidation  的使用方式。 

我曾經在端點使用 Dictionary<string,object> 型別，當調用端傳入 {"name":null} 時，移除 name key；傳入 {"name":"123"} 時，name 得的值等於 "123"，這樣便能夠做到類似 Json Path 的功能，參考上篇，在不改變合約的情況之下，這次我想要改用 Morcatko.AspNetCore.JsonMergePatch 來實現更新部分資源並且讓端點的合約變成強型別。

在軟體生命週期地演進的過程中，在不同的階段可能需要將某一些功能啟用或停用，這時候就可以選擇 Feature Toggle，微軟的 Microsoft.FeatureManagement 正好是選擇之一，除了基本的 Feature Toggle Flags 之外，也整合到 ASP.NET Core 的生命週期裡面，還有整合 Azure。下圖出自 針對目標受眾啟用分段推出功能 - Azure App Configuration | Microsoft Learn

上一篇，我們學習了怎麼自訂身分驗證
ASP.NET Core 6 實作自訂 Authentication 身份驗證，以 Basic Authentication 例 | 余小章 @ 大內殿堂 - 點部落 (dotblogs.com.tw) ，如果一個服務需要有多種以上的驗證，ASP.NET Core 也有支援，接下來我們就來看看怎麼在服務裡面增加多種驗證吧

ASP.NET Core 提供了健康檢查的 Middleware，可以讓我們很輕鬆的知道應用程式目前的本身的狀態以及應用程式所依賴其他服務的狀態；也可以讓容器協調器進行重新啟動容器或是暫停服務，比如 K8s 的 Liveness、Readiness

令人驚喜的是 AspNetCore.HealthChecks.UI 提供 UI / Alert 讓監視系統變得更有效率了

以往我們在 .Net Fx 可以透過 Transforms 來切換不同的組態，而在 .NET Core 開始，則改用 Microsoft.Extensions.Configuration 來處理組態，上篇 也針對 Microsoft.Extensions.Configuration 進行了介紹，這篇將針對 .NET 應用程式注入環境的做法做一個簡單的介紹