Come sappiamo, in ASP.NET MVC possiamo impostare l'attributo Authorize sia a livello di singola action che a livello di controller. In quest'ultimo caso, l'effetto è quello di applicare le regole di autenticazione a tutte le action in esso contenute.
Può capitare che, pur avendo impostato una regola generale a livello di controller, vogliamo comunque modificare questa policy su una singola action. Immaginiamo, per esempio, di avere un controller così strutturato, riservato agli utenti Admin, ma con la action Contact accessibile anche dal semplice ruolo User.
[Authorize(Roles = "Admin")] public class HomeController : Controller { public ActionResult Index() { return View(); } [Authorize(Roles = "User")] public ActionResult Contact() { return View(); } }
Se provassimo ad accedere alla action Contact ci renderemmo conto che, così com'è, questo codice non funziona: il motivo è che ASP.NET MVC valuta entrambi gli AuthorizationFilter (quello per Admin e quello per User), rigettando la richiesta nel caso in cui un utente non abbia entrambi i ruoli.
Da ASP.NET MVC 5 abbiamo a disposizione uno strumento chiamato Filter Override, tramite qui possiamo invalidare le regole specificate dai filtri posizionati più in alto nella gerarchia (per esempio a livello di controller o globali) e impostare regole specifiche. Nel nostro caso, è sufficiente aggiungere l'attributo OverrideAuthorization:
[OverrideAuthorization] [Authorize(Roles = "User")] public ActionResult Contact() { return View(); }
Esistono filter override di diversi tipi, a seconda della tipologia di filtro che si vuole sovrascrivere:
- OverrideActionFilters
- OverrideAuthentication
- OverrideAuthorization
- OverridExceptionFilters
- OverrideResultFilters
Eventualmente, possiamo crearne di personalizzati semplicemente implementando l'interfaccia IOverrideFilter.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Registrare servizi multipli tramite chiavi in ASP.NET Core 8
Evitare (o ridurre) il repo-jacking sulle GitHub Actions
Potenziare Azure AI Search con la ricerca vettoriale
Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript
Ottenere il contenuto di una cartella FTP con la libreria FluentFTP
Eseguire operazioni con timeout in React
Reactive form tipizzati con modellazione del FormBuilder in Angular
Visualizzare le change sul plan di Terraform tramite le GitHub Actions
Implementare l'infinite scroll con QuickGrid in Blazor Server
Creare form tipizzati con Angular
Le novità di Angular: i miglioramenti alla CLI
Eseguire una query su SQL Azure tramite un workflow di GitHub