Controller / azione anonimo all'interno del sito autorizzato

0

Supponiamo di avere un sito Web principale MVC .net in cui il 100% dei controller / metodi sono dietro gli attributi [Authorize] (completi di criteri e tutti). Sarebbe un tabù ritagliarsi una serie di metodi / controller non autorizzati / anonimi per gestire le richieste degli utenti per l'accesso al sito. Sembra perfettamente ragionevole per me, e al di fuori dell'errore dello sviluppatore, non riesco a vederlo introdurre un nuovo rischio per la sicurezza.

    
posta DiscipleMichael 12.02.2018 - 22:47
fonte

1 risposta

4

Nessun problema, anzi vorrei suggerire di affrontare il problema al contrario. Autentica tutte le azioni per impostazione predefinita e utilizza AllowAnonymous per consentire l'accesso alle tue azioni pubbliche. Se sei preoccupato di perdere qualcuno, puoi utilizzare i test unitari o l'analisi statica per contrassegnare le azioni non protette.

    
risposta data 13.02.2018 - 00:22
fonte

Leggi altre domande sui tag