Autorizzazione basata su policy in ASP.NET Core

Marco De Sanctis, in ASP.NET Core, il 26 novembre 2018 alle 08:00

.NET Core.NET Core 2ASP.NETASP.NET CoreASP.NET Core 2ASP.NET MVCASP.NET Web APISecurity

Una delle innovazioni più interessanti in ASP.NET Core è il concetto di Policy per quanto riguarda la gestione delle autorizzazioni.

Nelle versioni precedenti, quando dovevamo controllare l'accesso a particolari controller o action, l'unico strumento che avevamo a disposizione per differenziare gli utenti era il Role: una certa pagina o una certa API poteva essere ristretta solo agli appartenenti a un determinato gruppo.

Questo approccio aveva fondamentalmente due problemi:

il Role era l'unico discriminante built-in che potevamo utilizzare. Regole più complesse potevano solo essere soddisfatte tramite custom authorization attribute;
se il nome del ruolo veniva modificato, era necessario andare a sostituirlo in tutte le pagine o aree in cui era stato utilizzato.

Con l'avvento della security basata su Claim, invece, abbiamo a disposizione tutta una serie di attributi in più (i claim, per l'appunto) che descrivono l'utente in maniera più dettagliata, e permettono quindi di gestire regole più complesse, come per esempio richiedere multi-factor authentication per accedere all'area admin del sito.

Una policy non è altro che una sequenza di regole che viene dichiarata all'interno della classe startup:

public void ConfigureServices(IServiceCollection services)
{
    // .. altro codice qui ..
  services.AddMvc()
    .SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

  services.AddAuthorization(options => 
  {
    options.AddPolicy("AdminOnly", policy =>
    {
      policy.RequireRole("Admin");
    });
  });
}

Nell'esempio in alto, abbiamo creato una semplice policy chiamata AdminOnly che richiede che l'utente appartenga al ruolo Admin.

In un controller o in una action, possiamo poi referenziare la policy in alto tramite il solito attributo Authorize:

[Authorize(Policy = "AdminOnly")]
public IActionResult About()
{
  // .. altro codice qui ..
}

Le policy possono richiedere la presenza di determinati claim, possono implementare regole autorizzative complesse e persino essere combinate tra loro.

In ogni modo, anche usarle solo per specificare un semplice requisito di ruolo ci permette di astrarre la regola autorizzativa dal requisito in possesso dell'utente: se il nome del gruppo dovesse cambiare, o la regola dovesse diventare più complessa, ci basterà modificare la policy senza dover toccare i singoli controller o action dove è applicata.

Commenti

Visualizza/aggiungi commenti

| Condividi su: LinkedIn, Facebook

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Global Azure 2026

16/04 - Milano - Le ultime novità di Azure!

Future Dev Day

27/05 - Milano - AI e sviluppo software del futuro!

Autorizzazione basata su policy in ASP.NET Core

Commenti

Approfondimenti

Configuratione e utilizzo .NET Aspire CLI

Fissare una versione dell'agent nelle pipeline di Azure DevOps

Controllare la telemetria con .NET Aspire

Monitorare le tabelle di Azure SQL Database con Change Event Streaming

Analizzare il contenuto di una issue con GitHub Models e AI

Supportare la crittografia di ASP.NET Core con Azure Container App

Gestione dei prompt file a livello di organizzazione aziendale in GitHub

Abilitare il rolling update su Azure Functions flex consumption

Configurare OpenAI in .NET Aspire

.NET Aspire per applicazioni distribuite

Personalizzare le pagine di errore su Azure App Service

Autenticazione di git tramite Microsoft Entra ID in Azure DevOps

I più letti di oggi

Script via e-mail

In primo piano

Global Azure 2026 - ASPItalia.com - Milano

Future Dev Day - Milano

.NET Conference Italia 2025 - Milano

The Agentic Day - Milano

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.