Come sappiamo, in ASP.NET MVC possiamo impostare l'attributo Authorize sia a livello di singola action che a livello di controller. In quest'ultimo caso, l'effetto è quello di applicare le regole di autenticazione a tutte le action in esso contenute.
Può capitare che, pur avendo impostato una regola generale a livello di controller, vogliamo comunque modificare questa policy su una singola action. Immaginiamo, per esempio, di avere un controller così strutturato, riservato agli utenti Admin, ma con la action Contact accessibile anche dal semplice ruolo User.
[Authorize(Roles = "Admin")] public class HomeController : Controller { public ActionResult Index() { return View(); } [Authorize(Roles = "User")] public ActionResult Contact() { return View(); } }
Se provassimo ad accedere alla action Contact ci renderemmo conto che, così com'è, questo codice non funziona: il motivo è che ASP.NET MVC valuta entrambi gli AuthorizationFilter (quello per Admin e quello per User), rigettando la richiesta nel caso in cui un utente non abbia entrambi i ruoli.
Da ASP.NET MVC 5 abbiamo a disposizione uno strumento chiamato Filter Override, tramite qui possiamo invalidare le regole specificate dai filtri posizionati più in alto nella gerarchia (per esempio a livello di controller o globali) e impostare regole specifiche. Nel nostro caso, è sufficiente aggiungere l'attributo OverrideAuthorization:
[OverrideAuthorization] [Authorize(Roles = "User")] public ActionResult Contact() { return View(); }
Esistono filter override di diversi tipi, a seconda della tipologia di filtro che si vuole sovrascrivere:
- OverrideActionFilters
- OverrideAuthentication
- OverrideAuthorization
- OverridExceptionFilters
- OverrideResultFilters
Eventualmente, possiamo crearne di personalizzati semplicemente implementando l'interfaccia IOverrideFilter.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript
Short-circuiting della Pipeline in ASP.NET Core
Effettuare il binding di date in Blazor
Utilizzare gli snapshot con Azure File shares
Potenziare Azure AI Search con la ricerca vettoriale
Sfruttare lo stream rendering per le pagine statiche di Blazor 8
Creare form tipizzati con Angular
Usare lo spread operator con i collection initializer in C#
Hosting di componenti WebAssembly in un'applicazione Blazor static
Cambiare la chiave di partizionamento di Azure Cosmos DB
Eseguire attività pianificate con Azure Container Jobs
Verificare la provenienza di un commit tramite le GitHub Actions
I più letti di oggi
- PWAConf 2020 - Online
- Effettuare il binding di date in Blazor
- What's new in Azure Functions and Extensions
- Mantenere sempre reattiva una Lambda di AWS
- Proteggersi dagli attacchi di Open Redirect in ASP.NET Core MVC
- Gestire errori funzionali tramite exception in ASP.NET Core Web API
- Sblocca le performance della tua applicazione con .NET 8