Come sappiamo, in ASP.NET MVC possiamo impostare l'attributo Authorize sia a livello di singola action che a livello di controller. In quest'ultimo caso, l'effetto è quello di applicare le regole di autenticazione a tutte le action in esso contenute.

Può capitare che, pur avendo impostato una regola generale a livello di controller, vogliamo comunque modificare questa policy su una singola action. Immaginiamo, per esempio, di avere un controller così strutturato, riservato agli utenti Admin, ma con la action Contact accessibile anche dal semplice ruolo User.

[Authorize(Roles = "Admin")]
public class HomeController : Controller
{
    public ActionResult Index()
    {
        return View();
    }

    [Authorize(Roles = "User")]
    public ActionResult Contact()
    {
        return View();
    }
}

Se provassimo ad accedere alla action Contact ci renderemmo conto che, così com'è, questo codice non funziona: il motivo è che ASP.NET MVC valuta entrambi gli AuthorizationFilter (quello per Admin e quello per User), rigettando la richiesta nel caso in cui un utente non abbia entrambi i ruoli.

Da ASP.NET MVC 5 abbiamo a disposizione uno strumento chiamato Filter Override, tramite qui possiamo invalidare le regole specificate dai filtri posizionati più in alto nella gerarchia (per esempio a livello di controller o globali) e impostare regole specifiche. Nel nostro caso, è sufficiente aggiungere l'attributo OverrideAuthorization:

[OverrideAuthorization]
[Authorize(Roles = "User")]
public ActionResult Contact()
{
    return View();
}

Esistono filter override di diversi tipi, a seconda della tipologia di filtro che si vuole sovrascrivere:

• OverrideActionFilters
• OverrideAuthentication
• OverrideAuthorization
• OverridExceptionFilters
• OverrideResultFilters

Eventualmente, possiamo crearne di personalizzati semplicemente implementando l'interfaccia IOverrideFilter.