Come sappiamo, tramite l'attributo Authorize, possiamo attivare la protezione a livello di action o di controller, così che solo chi è autenticato (o è in possesso del ruolo indicato) possa effettivamente utilizzarle. Alle volte, per ragioni di sicurezza o di comodità, può essere necessario applicare la logica opposta, rendendo disponibile l'intero sito agli utenti autenticati, e sbloccando solo alcune determinate operazioni (come la pagina di login o di registrazione) per gli utenti anonimi, secondo una logica di white listing.
Questa funzionalità è stata introdotta in ASP.NET MVC 4 grazie alla classe AllowAnonymousAttribute, che serve a marcare un controller o una action come pubblica:
[AllowAnonymous] public ActionResult SignIn() { // .. altro codice qui .. }
In questo modo, non ci resta che proteggere l'intero controller o addirittura tutto il sito, registrando per esempio il filtro Authorize tra i global filter:
public class FilterConfig { public static void RegisterGlobalFilters(GlobalFilterCollection filters) { filters.Add(new HandleErrorAttribute()); filters.Add(new GlobalAuthorize()); } }
Come possiamo facilmente immaginare, il vantaggio di questo approccio è sicuramente la comodità, visto che ci consente di scrivere meno codice, ma soprattutto la sicurezza, in quanto non corriamo il rischio di lasciare "sguarnite" alcune sezioni del sito semplicemente per aver dimenticato di marcarle opportunamente.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Load test di ASP.NET Core con k6
Visualizzare le change sul plan di Terraform tramite le GitHub Actions
Gestire domini wildcard in Azure Container Apps
Supportare il sorting di dati tabellari in Blazor con QuickGrid
Code scanning e advanced security con Azure DevOps
Effettuare il binding di date in Blazor
Gestire errori funzionali tramite exception in ASP.NET Core Web API
Creare alias per tipi generici e tuple in C#
Evitare la script injection nelle GitHub Actions
Generare token per autenicarsi sulle API di GitHub