L'approccio utilizzato da ASP.NET Identity 2 per la configurazione delle regole di security è molto differente rispetto a quanto accadeva con Forms Authentication. Le impostazioni, infatti, non sono più contenute all'interno del file web.config, ma viene sfruttato il costruttore statico ApplicationUserManager.Create nel file IdentityConfig.cs.
Come già accennato nel nostro recente articolo sull'argomento, per default ASP.NET Identity utilizza un PasswordValidator che possiamo configurare intervenendo direttamente sul codice C#:
manager.PasswordValidator = new PasswordValidator { RequiredLength = 6, RequireNonLetterOrDigit = true, RequireDigit = true, RequireLowercase = true, RequireUppercase = true, };
Questo approccio ci permette una notevole flessibilità, perché con pochissimo sforzo possiamo implementare regole personalizzate. Immaginiamo, per esempio, di voler impedire l'uso di password troppo banali. Ci basterà creare una classe che implementi IIdentityValidator
public class DictionaryPasswordValidator : PasswordValidator { public HashSet<string> ForbiddenWords { get; set; } public override async Task<IdentityResult> ValidateAsync(string item) { var result = await base.ValidateAsync(item); if (this.ForbiddenWords != null && this.ForbiddenWords.Any(x => x == item)) { var errors = result.Errors.ToList(); errors.Add("La password utilizzata è troppo semplice"); return new IdentityResult(errors); } return result; } }
Il metodo in alto esegue innanzitutto l'implementazione della classe base. Successivamente, verifica anche se la password sia contenuta nell'elenco delle ForbiddenWords che abbiamo specificato in fase di configurazione, restituendo un errore ulteriore in caso affermativo.
A questo punto non ci resta che utilizzarlo nella creazione dell'ApplicationUserManager:
manager.PasswordValidator = new DictionaryPasswordValidator { RequiredLength = 6, ForbiddenWords = new HashSet<string> { "password", "testtest", .... } };
Uno dei limiti di PasswordValidator è che consente di implementare solo validazioni formali sulla password: non ci vengono infatti passate informazioni di contesto (come per esempio il nome utente) e pertanto non è possibile effettuare verifiche più specifiche, per esempio che la password non contenga lo username o che sia differente dalle ultime utilizzate.
In un prossimo script scopriremo come superare anche questo limite.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Accesso sicuro ai secrets attraverso i file in Azure Container Apps
Configurare policy CORS in Azure Container Apps
Effettuare lo stream della risposta in ASP.NET Core tramite IAsyncEnumerable
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Specificare il versioning nel path degli URL in ASP.NET Web API
Creare alias per tipi generici e tuple in C#
Usare lo spread operator con i collection initializer in C#
Sfruttare lo stream rendering per le pagine statiche di Blazor 8
Utilizzare Tailwind CSS all'interno di React: installazione
Inizializzare i container in Azure Container Apps
Sostituire la GitHub Action di login su private registry
Ottenere il contenuto di una cartella FTP con la libreria FluentFTP
I più letti di oggi
- annunciato #netstandard 2.1. .NET Core lo supporterà a partire da #netcore3, così come le prossime versione di #xamarin, #mono e #unity.il supporto per #netfx 4.8, invece, non ci sarà. https://aspit.co/bq2
- Steel Style CheckBox per Silverlight 4.0
- Supporto ai tipi DateOnly e TimeOnly in Entity Framework Core
- Speciale Windows Store app: costruire app con WinRT per Windows 8