Gestione dell'accesso non autorizzato in ASP.NET MVC

Marco De Sanctis, in ASP.NET MVC, l'11 giugno 2012 alle 08:00

.NET Framework.NET Framework 4.0ASP.NETASP.NET MVCSecurityweb.config

Se la nostra web application fa uso di ruoli, abbiamo tipicamente la necessità di mostrare un messaggio di "Accesso non autorizzato" nel caso in cui un utente cerchi di visitare una sezione del sito per cui non dispone dei necessari permessi.

Nel caso di ASP.NET MVC una possibile soluzione è quella di realizzare una action Unauthorized e di configurarla come loginUrl della forms authentication:

<authentication mode="Forms">
  <forms loginUrl="~/Account/Unauthorized" timeout="2880" />
</authentication>

Supponiamo ora che un utente loggato provi a visitare un controller su cui non è autorizzato, ad esempio perché il suo uso è ristretto ai soli membri del gruppo Administrators:

[Authorize(Roles = "Administrators")]
public class BackOfficeController : Controller
{
    public ActionResult Index()
    {
        return this.View();
    }
}

In questo caso, la forms authentication farà scattare il redirect verso la action che abbiamo configurato che, a sua volta, restituirà una view contenente un opportuno messaggio di errore:

public ActionResult Unauthorized()
{
    if (User.Identity.IsAuthenticated)
    {
        // Non sei autorizzato a visitare questa pagina...
        return this.View();
    }

    var routeValues = this.RouteData.Values;
    foreach (var key in this.Request.QueryString.AllKeys)
    {
        routeValues.Add(key, this.Request.QueryString[key]);
    }

    return this.RedirectToAction("LogOn", routeValues);
}

Questo comportamento permane solo nel caso in cui l'utente sia autenticato ossia, in altre parole, quando il redirect ha avuto luogo per una mancanza di permessi. Nel caso in cui l'utente sia anonimo, invece, deve essere ripristinato il funzionamento tradizionale, rimandando pertanto alla pagina di login: la seconda parte del metodo si occupa proprio di assolvere a questo compito, avendo cura di includere nell'URL tutti gli eventuali parametri (sia di querystring che di routing) con cui Unauthorized è stata invocata.

Un piccolo difetto di questo approccio è che, nel caso di utente non autenticato, vengono effettuati due redirect successivi, uno verso la action Unauthorized e il successivo su quella di LogOn. In realtà potrebbe essere più indicato un comportamento simile al Server.Transfer di ASP.NET Web Forms, ed evitare così un roundtrip addizionale verso il browser. Purtroppo questo metodo non è direttamente utilizzabile in ASP.NET MVC, ma comunque in rete si trovano diversi esempi di come implementare un TransferResult e migliorare, se necessario, anche questo aspetto.

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Gestione dell'accesso non autorizzato in ASP.NET MVC

Commenti

Approfondimenti

Utilizzare la libreria Benchmark.NET per misurare le performance

Come migrare da una form non tipizzata a una form tipizzata in Angular

Eseguire query verso tipi non mappati in Entity Framework Core

Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript

Effettuare chiamate con versioning da Blazor ad ASP.NET Core

Gestione degli environment per il deploy con un workflow di GitHub

Utilizzare il trigger SQL con le Azure Function

Effettuare il binding di date in Blazor

Load test di ASP.NET Core con k6

Evitare (o ridurre) il repo-jacking sulle GitHub Actions

Sfruttare lo streaming di una chiamata Http da Blazor

Miglioramenti agli screen reader e al contrasto in Angular

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

Le novità di Entity Framework (Core) 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.