L'approccio utilizzato da ASP.NET Identity 2 per la configurazione delle regole di security è molto differente rispetto a quanto accadeva con Forms Authentication. Le impostazioni, infatti, non sono più contenute all'interno del file web.config, ma viene sfruttato il costruttore statico ApplicationUserManager.Create nel file IdentityConfig.cs.
Come già accennato nel nostro recente articolo sull'argomento, per default ASP.NET Identity utilizza un PasswordValidator che possiamo configurare intervenendo direttamente sul codice C#:
manager.PasswordValidator = new PasswordValidator { RequiredLength = 6, RequireNonLetterOrDigit = true, RequireDigit = true, RequireLowercase = true, RequireUppercase = true, };
Questo approccio ci permette una notevole flessibilità, perché con pochissimo sforzo possiamo implementare regole personalizzate. Immaginiamo, per esempio, di voler impedire l'uso di password troppo banali. Ci basterà creare una classe che implementi IIdentityValidator
public class DictionaryPasswordValidator : PasswordValidator { public HashSet<string> ForbiddenWords { get; set; } public override async Task<IdentityResult> ValidateAsync(string item) { var result = await base.ValidateAsync(item); if (this.ForbiddenWords != null && this.ForbiddenWords.Any(x => x == item)) { var errors = result.Errors.ToList(); errors.Add("La password utilizzata è troppo semplice"); return new IdentityResult(errors); } return result; } }
Il metodo in alto esegue innanzitutto l'implementazione della classe base. Successivamente, verifica anche se la password sia contenuta nell'elenco delle ForbiddenWords che abbiamo specificato in fase di configurazione, restituendo un errore ulteriore in caso affermativo.
A questo punto non ci resta che utilizzarlo nella creazione dell'ApplicationUserManager:
manager.PasswordValidator = new DictionaryPasswordValidator { RequiredLength = 6, ForbiddenWords = new HashSet<string> { "password", "testtest", .... } };
Uno dei limiti di PasswordValidator è che consente di implementare solo validazioni formali sulla password: non ci vengono infatti passate informazioni di contesto (come per esempio il nome utente) e pertanto non è possibile effettuare verifiche più specifiche, per esempio che la password non contenga lo username o che sia differente dalle ultime utilizzate.
In un prossimo script scopriremo come superare anche questo limite.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Registrare servizi multipli tramite chiavi in ASP.NET Core 8
Potenziare Azure AI Search con la ricerca vettoriale
Implementare il throttling in ASP.NET Core
Evitare la script injection nelle GitHub Actions
Effettuare lo stream della risposta in ASP.NET Core tramite IAsyncEnumerable
C# 12: Cosa c'è di nuovo e interessante
Load test di ASP.NET Core con k6
Utilizzare gli snapshot con Azure File shares
Effettuare il deploy di immagini solo da container registry approvati in Kubernetes
Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript
Gestire undefined e partial nelle reactive forms di Angular