Security in ASP.NET MVC 5 con ASP.NET Identity 2
Dopo le funzionalità della versione 1.0 presentate nell'articolo di Giancarlo Lelli, torniamo a parlare di ASP.NET Identity, il sistema di autenticazione e membership per applicazioni ASP.NET 4.5, sviluppate su WebForms o MVC. La particolare flessibilità di questo prodotto, presto open source, lo rendono una scelta ideale in quelle applicazioni che richiedono maggiori opzioni di autenticazione e un miglior controllo sul meccanismo di persistenza dei dati.
Introduzione alla versione 2.1
ASP.NET Identity viene rilasciato con una nuova versione 2.0 e un successivo bugfix 2.1 che lo rendono un prodotto più maturo, attento sia alla sicurezza degli account che ad offrire una maggiore quantità di funzioni rivolte alla gestione degli account. Come altri prodotti gestiti da Microsoft, gode di rilasci frequenti. Infatti, la versione 2.2 è tutt'ora in produzione e promette miglioramenti prestazionali.
Installazione
ASP.NET Identity possiede un design modulare, composto da molte semplici parti che lo rendono facilmente adattabile ad una notevole varietà di scenari. Siamo di fronte ad un prodotto progettato per essere future-ready ed in grado di concorrere con l'elevata longevità di Membership API, suo predecessore.
I componenti di ASP.NET Identity sono raccolti in tre pacchetti ottenibili da NuGet, ciascuno avente specifiche responsabilità.
Nel pacchetto Core spicca la classe UserManager, nostra principale API di gestione ad alto livello degli utenti. Sebbene possa essere usato individualmente, troveremo certamente utile anche del pacchetto OWIN che si occupa dell'interazione con il mondo HTTP, ovvero di verificare le credenziali e di emettere i cookies di autenticazione. Il pacchetto EntityFramework ci permetterà di persistere gli account con una della tecnologie database supportate.
Questo tipo di design è senz'altro gradito perché ci consente di scegliere altri meccanismi di persistenza basati su database documentali come MongoDB o su sistemi di archiviazione nel cloud, come Windows Azure Table Storage.
Andiamo dunque ad installare ASP.NET Identity dalla console di gestione pacchetti di Visual Studio.
Install-Package Microsoft.AspNet.Identity.Core Install-Package Microsoft.AspNet.Identity.Owin Install-Package Microsoft.AspNet.Identity.EntityFramework
Tali pacchetti sono già installati nei template di progetto di Visual Studio 2013, a partire dalla Update 2. Un ulteriore suggerimento da parte di Microsoft a far entrare questa tecnologia nei nostri nuovi progetti.
Maggiore sicurezza per gli account
Sin dalla prima versione di ASP.NET, FormsAuthentication e Membership API hanno rappresentato una soluzione molto immediata (ma anche rigidamente standardizzata) di autenticare e gestire gli utenti. Oggi, trascorsi molti anni, come sviluppatori siamo chiamati ad affrontare scenari più complessi e mutevoli. Gli utenti, abituati ad usare molte più applicazioni rispetto al passato, desiderano autenticarsi con il loro account social o trovarsi già autenticati grazie ad un meccanismo di single sign-on. Spesso, le applicazioni web si trovano ad operare in contesti sensibili, in cui la sicurezza è un requisito principe e l'account va protetto anche in caso di furto di password.
Vediamo quali sono le opportunità offerte da ASP.NET Identity 2 in ambito di sicurezza.
Two-factor authentication
La two-factor authentication è volta a rendere più robusta la procedura di login e a limitare l'accesso non autorizzato all'account in caso di furto di password. L'utente non deve solo dar prova di conoscere le sue credenziali di accesso, ma anche di possedere un telefono cellulare o una casella email a cui la nostra applicazione recapiterà un codice di verifica. Possiamo configurare i servizi di recapito SmsService ed EmailService dal file App_Start/IdentityConfig.cs, dove si trova il factory method Create del nostro UserManager.
manager.RegisterTwoFactorProvider(
"Codice telefono", new PhoneNumberTokenProvider<ApplicationUser>
{
MessageFormat = "Il codice di sicurezza è {0}"
});
manager.RegisterTwoFactorProvider("Codice e-mail",
new EmailTokenProvider<ApplicationUser>
{
Subject = "Codice di sicurezza",
BodyFormat = "Il codice di sicurezza è {0}"
});Dopo aver inserito username e password, l'utente potrà scegliere se ricevere il codice sul telefono o via email. La procedura di login sarà completa solo dopo l'inserimento del codice di verifica.
Contenuti dell'articolo
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Eseguire operazioni sui blob con Azure Storage Actions
Gestire domini wildcard in Azure Container Apps
Installare le Web App site extension tramite una pipeline di Azure DevOps
Usare il versioning con i controller di ASP.NET Core Web API
Eseguire attività pianificate con Azure Container Jobs
Creare gruppi di client per Event Grid MQTT
Utilizzare i primary constructor di C# per inizializzare le proprietà
Supporto ai tipi DateOnly e TimeOnly in Entity Framework Core
Elencare le container images installate in un cluster di Kubernetes
Eseguire query verso tipi non mappati in Entity Framework Core
Usare le collection expression per inizializzare una lista di oggetti in C#
Eseguire una GroupBy per entity in Entity Framework
Top Ten Articoli
- Blazor e il pattern Model-View-ViewModel
di Giampaolo Tucci - Le novità in ASP.NET Core e Blazor con .NET 7
di Morgan Pizzini - Realizzare una Progressive Web Application con Blazor e ASP.NET Core
di Giampaolo Tucci - Creare API GraphQL con ASP.NET Core e HotChocolate
di Moreno Gentili - Gestire le chiamate a servizi esterni in ASP.NET Core e Blazor tramite Polly
di Morgan Pizzini - Usare gRPC come infrastruttura per i nostri servizi web
di Morgan Pizzini - Abilitare e gestire il prerendering nelle applicazioni Blazor WebAssembly
di Marco De Sanctis - Le novità di ASP.NET Core 5
di Marco De Sanctis - Introduzione a Blazor WebAssembly
di Marco De Sanctis, Moreno Gentili - Utilizzare scene 3D in Windows Presentation Foundation
di Marco Leoncini
Articoli via e-mail
Iscriviti alla nostra newsletter nuoviarticoli per ricevere via e-mail le notifiche!
In primo piano
I più letti di oggi
- Utilizzare Docker Compose con Azure App Service
- Utilizzare QuickGrid di Blazor con Entity Framework
- Modernizzare le applicazioni WPF e Windows Forms con Blazor
- ASP 3 per esempi
- annunciato #netstandard 2.1. .NET Core lo supporterà a partire da #netcore3, così come le prossime versione di #xamarin, #mono e #unity.il supporto per #netfx 4.8, invece, non ci sarà. https://aspit.co/bq2
- Steel Style CheckBox per Silverlight 4.0
In evidenza
- Utilizzare QuickGrid di Blazor con Entity Framework
- Supporto ai tipi DateOnly e TimeOnly in Entity Framework Core
- Creare un webhook in Azure DevOps
- Utilizzare Azure AI Studio per testare i modelli AI
- Gestire la cancellazione di una richiesta in streaming da Blazor
- Ottimizzare le performance delle collection con le classi FrozenSet e FrozenDictionary
- Disabilitare automaticamente un workflow di GitHub (parte 2)
- Ottimizzazione dei block template in Angular 17