3月第4週（3/16-3/22）

ASP.NET Core MVC

MSDNのドキュメントを読んでいて学んだ、Dependency InjectionのAddScopedの正確な挙動と、DIを用いて疎結合にすべきとされていた意外なものについて書く。

AddTransientは供給要求のたびに新しいインスタンスが生成される。ステートレスで軽量なサービス（ここでは供給する実装クラスのことを指すと考えられる）に向くとされる。

一方でAddScopedはクライアントのリクエストごとに生成されると書いてあり、これだけではTransientとの区別がつけづらい（Transientであっても、リクエストごとに生成されるControllerインスタンスの中で、供給されたサービスを使い捨てず変数に格納して利用することが主であろう）。正確にはscopedの名の通りスコープの中で同一のインスタンスが供給される。ここでのスコープとはブレースに囲まれたブロックではなくusingステートメントにおいて

using(var scope = services.BuildServiceProvider().GetRequiredService<IServiceScopeFactory>().CreateScope()){
    ...
}

で生成されたscopeである。scope.ServiceProvider.GetService<IYourInterface>();で要求すると毎回同一のものが供給される。

ASP.NET Core MVCではリクエストの処理に際してAddScopedの対象となるサービスを自動的にこのscopeを通じ供給するようにしているため、外見上リクエストごとに生成されているとみなせるようである。

DbContextはAddDbContextにおいてScopedな供給のされ方をしているので、先週の記事で述べたリポジトリクラスもAddScopedで供給するのがよい*1。

このドキュメントではDateTime.NowをControllerのメソッド中で直接使うことを戒めている。それはテストするタイミングによってそれが変動してしまい、常に同じ結果が得られるとは限らないからである。記事を予約投稿する（指定時刻まではアクセスしてもNot Foundにする）機能を持ったブログアプリケーションを考えたとき、当然指定時刻以前と以後で違うレスポンスが得られるかテストするだろう。

アクセスをController内部のDateTime.Nowで制御すると、テスト時刻の前に公開時刻をセットしたものは見られて逆は404になるよう期待するため、モック記事モデルの公開時刻をテストのたびに書き直すか、あるいはテストコード中でDateTime.Nowから足し引きすることになる。任意の時刻を設定できるモックを基準にするならまだよいが、Controllerの中で直接「日曜日だけ…」などとやっていたとしたら自動テストによる動作保証は絶望的である。

そこでこの記事では抽象化した時刻提供サービスを供給することが推奨されている。単体テスト時には都合の良い時刻を返すモック時刻提供サービスを供給することで常にリクエスト発生時刻を任意のタイミングに指定（仮定）できるというわけである。

これまでDependency Injectionを拡大する方向で進んできたが、それはリポジトリにおけるデータベースコンテキストのように事情が変われば交換可能な依存先について適用すべきもので、帰属関係のあるものにまで適用すべきでないということが言われている。大規模なアプリケーションの経験がないためどういったところで内部newのままにすべきなのかつかめていないが留意しておきたい。

3月第2週（3/2-3/8）

ASP.NET Core MVC

今週も引き続き環境変数等の扱いを調査した。なかなか複雑で混乱しやすいところであり、ASP.NET特有の部分も多いため時間を要した。

ASP.NET Core 3.1においてWeb MVCアプリケーションを作成すると、ProgramクラスCreateHostBuilder(string[] args)メソッドにおいてHost.CreateDefaultBuilder(args).ConfigureWebHostDefaults(...)が返されるようになっている。

docs.microsoft.com

上記ドキュメントで説明されているように、CreateDefaultBuilderでは

1. 各種環境変数を読み込む
2. DOTNET_で始まる環境変数を参照し設定を行う

等の処理を行う。DOTNET_接頭辞のある環境変数は接頭辞なしでもアクセス可能になる*1（"DOTNET_abc"でも"abc"でもよい）。

次にConfigureWebHostDefaultsでは

1. ASPNETCORE_で始まる環境変数を参照し設定を行う
2. ASPNETCORE_FORWARDEDHEADERS_ENABLEDがtrue/1であればx-forwarded-forを有効にするミドルウェアを自動追加する

等の処理を行う。ASPNETCORE_接頭辞のある環境変数が接頭辞なしでもアクセス可能になる（"ASPNETCORE_xyz"でも"xyz"でもよい）。

Startupクラス（Startup.cs）の中ではIConfiguration型 Configurationが供給（DI）される。Configurationはkey-valueセットなのでキー名を指定してConfiguration["pqr"]で環境変数を取得することができる。

では開発環境において同一名の環境変数は―すなわち様々な場所に書き込まれた環境変数は―どの順番で優先されるのだろうか。後に読み込まれたものが優越するのは明らかだが、接頭辞なしでアクセスできるようになるとされているDOTNET_xyzやASPNETCORE_xyzはどこに位置するのか。Configuration["xyz"]の値を表示させる実験の結果は以下である。

1. launchSettings.jsonのprofiles:【IIS Expressなど】:environmentVariables:xyz（優先）
2. マシン環境変数のxyz
3. secrets.jsonのxyz
4. appsettings.Development.jsonのxyz
5. appsettings.jsonのxyz

6. launchSettings.jsonの（略）:environmentVariables:ASPNETCORE_xyz
7. マシン環境変数のASPNETCORE_xyz
8. ...中略...

9. launchSettings.jsonの（略）:environmentVariables:DOTNET_xyz
10. マシン環境変数のDOTNET_xyz（劣後）
11. ...後略...

このことから、同一接頭辞キーについて書き込み場所による優先順位は1.から5.で示された通りであり、接頭辞の優先度は接頭辞なし＞ASPNETCORE_＞DOTNET_ということが分かる。接頭辞の違いがまず考慮され、同一接頭辞中では書き込み場所によって順位が定められている。

Configuration["ASPNETCORE_xyz"]など接頭辞付きでアクセスした場合は、フルネームなので当然完全一致するキーの中だけで読み込み順に従って値が決定される。

結論として外部にプロジェクトコードが公開されても安全が保たれ、かつ環境ごとに異なる値に設定できるようにするためのシークレット書き込み場所は

• 開発環境においてsecrets.jsonまたはマシン環境変数
• 検証環境においてマシン環境変数
• 本番環境においてマシン環境変数

ということになろう。結局全部マシン環境変数である。Windows Visual StudioについてはVS起動時にマシン環境変数が読み込まれて維持され、VSの起動中は再読み込みされないようなので、頻繁に書き換えて挙動をチェックしたり、あるいは開発環境用に多数存在する設定を社内で簡単に共有したりするにはsecrets.jsonを使うといったところだろうか。

DOTNET_/ASPNETCORE_接頭辞つきのものを省略して参照するのは予期せぬオーバーライドを引き起こしかねないのでやめておいたほうがよさそうだ。CreateDefaultBuilderによるプロバイダをクリアしてConfigurationBuilder().AddEnvironmentVariables(prefix: "YOURPREFIX_")を利用することもできるが、最初からYOURPREFIX_付きで指定すべきであろう。

2月第4週（2/17-2/23）

ASP.NET Core MVC

不適切な操作でリソースが解放されないことが多いHttpClientの正しい利用方法を学んだ。定石であるusingステートメントではなく（実際のところusingを使わないところまで定石化しているらしいが）、DIコンテナでIHttpClientFactoryの実装を供給してもらい自分でCreateClient()する方法と、HttpClientを自分のサービスクラスに供給してもらいさらにそのサービスクラスインスタンスを必要な場所に供給してもらう方法とが紹介されていた。

前者はアクセス先のベースURIが不定である場合に便利で、後者は同一ベースURIに複数のリクエストを送信する場合に便利である。

またアクセス先のAPIにDoS扱いされないよう、リクエストが500エラーで失敗したらexponential backoffで再試行するように設定する必要があるといった場合に、後者では個々のHttpClientにその設定を施すことなくサービスクラスにあらかじめ設定を書き込んでおけばよい点でも優れている。

docs.microsoft.com

利用の方法は上記ドキュメントに記載されているが、流れとしては

1. Controllerがサービスクラス実装の供給をインタフェースの形で受ける（AddHttpClient<IMyClient, MyClientImpl>();）
2. そのサービスクラスはHttpClientの供給を受けている（AddHttpClientがこれも行う）
3. Controllerはサービスクラスインスタンスに、実装されたメソッドの実行を指示する（_myClientInterface.GetDataFromExternalAPI();）
4. サービスクラスは供給を受けたHttpClientを使ってHTTPリクエストを行う（_httpClient.SendAsync(request);）

となる。単体テストをする気がないのであれば1.で実装クラスを直接指定してもよい。個人的にはビルトインであるHttpClientのラッパーに過ぎないサービスクラスは単体テスト不要だと思うが、そのサービスクラスに依存するControllerの単体テストは書いておきたいと思った。

またHttpClientの使用にあたっては、Content-Typeヘッダを自由に設定できるわけではないことに注意する必要がある。FormUrlEncodedContent, StringContentなどをHttpRequestMessageのContentに設定しておけば自動的に対応するものが指定されるようだ。

このサービスクラスインジェクションを使ってついにプログラム中でトークンJSONを取得しパースすることができた。

有効期限は時刻ではなく時間（秒）で渡されるため、トークン情報クラスのコンストラクタでDateTime.UtcNowを取得してAddSecondsで加算した時刻をユーザデータに移し替えようとしたが、加算が反映されておらずしばらく悩んでいた。デバッガでトークン情報クラスの中身をよく見たところ、直接アクセスするべきでないとしてprivateにしたint expire_inに値が入っていないことが分かった。これをpublic int expire_in { private get; set; }にすることで解決した。

しかしpublic setである以上、IntelliSenseにexpire_inが候補として表示されてしまうので完全とは言い難い。来週はこの解決策を探りつつ、セッションのKVS格納を進めていきたい。