Supponiamo di avere un sito Web principale MVC .net in cui il 100% dei controller / metodi sono dietro gli attributi [Authorize] (completi di criteri e tutti). Sarebbe un tabù ritagliarsi una serie di metodi / controller non autorizzati / anonimi per gestire le richieste degli utenti per l'accesso al sito. Sembra perfettamente ragionevole per me, e al di fuori dell'errore dello sviluppatore, non riesco a vederlo introdurre un nuovo rischio per la sicurezza.