Come sappiamo, tramite l'attributo Authorize, possiamo attivare la protezione a livello di action o di controller, così che solo chi è autenticato (o è in possesso del ruolo indicato) possa effettivamente utilizzarle. Alle volte, per ragioni di sicurezza o di comodità, può essere necessario applicare la logica opposta, rendendo disponibile l'intero sito agli utenti autenticati, e sbloccando solo alcune determinate operazioni (come la pagina di login o di registrazione) per gli utenti anonimi, secondo una logica di white listing.
Questa funzionalità è stata introdotta in ASP.NET MVC 4 grazie alla classe AllowAnonymousAttribute, che serve a marcare un controller o una action come pubblica:
[AllowAnonymous] public ActionResult SignIn() { // .. altro codice qui .. }
In questo modo, non ci resta che proteggere l'intero controller o addirittura tutto il sito, registrando per esempio il filtro Authorize tra i global filter:
public class FilterConfig { public static void RegisterGlobalFilters(GlobalFilterCollection filters) { filters.Add(new HandleErrorAttribute()); filters.Add(new GlobalAuthorize()); } }
Come possiamo facilmente immaginare, il vantaggio di questo approccio è sicuramente la comodità, visto che ci consente di scrivere meno codice, ma soprattutto la sicurezza, in quanto non corriamo il rischio di lasciare "sguarnite" alcune sezioni del sito semplicemente per aver dimenticato di marcarle opportunamente.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Disabilitare automaticamente un workflow di GitHub (parte 2)
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Configurare policy CORS in Azure Container Apps
Utilizzare gli snapshot con Azure File shares
Utilizzare i primary constructor di C# per inizializzare le proprietà
Utilizzare domini personalizzati gestiti automaticamente con Azure Container Apps
Reactive form tipizzati con modellazione del FormBuilder in Angular
Implementare il throttling in ASP.NET Core
Eseguire operazioni con timeout in React
Disabilitare automaticamente un workflow di GitHub
Sfruttare MQTT in cloud e in edge con Azure Event Grid
Usare Refit e Polly in Blazor per creare client affidabili e fortemente tipizzati