Authorize y AllowAnonymous | Membresías | Programando en ASP.NET MVC 5

Si tienes una página web en la que permites que los usuarios se autentiquen, a lo mejor deseas poder restringir algunas secciones de tu página para los usuarios que estén autenticados (logueados). Para esto, puedes utilizar el atributo Authorize y cololocarlo o encima del Action o Acción que quieres restringir, o, puedes colocar el atributo Authorize encima del controlador, de este modo, estarías restringiendo el acceso a cada uno de los Actions del controlador o controller.

Claro está, no todos los usuarios son iguales. Habrán secciones de tu página en la que solo quieras que determinados usuarios puedan entrar, por ejemplo: En una aplicación de solicitudes de préstamos, solo determinados usuarios deben de poder aprobar esos préstamos. Esta restricción la podemos hacer a nivel de usuario o a nivel de rol:

A nivel de usuario: Esto lo hacemos abriendo un paréntesis en el atributo Authorize y escribiendo Users = nombre de los usuarios, separados por coma si son más de uno. Esto tiene un problema, y es que los usuarios vienen y se van, es decir, quien hoy aprueba préstamos, por ejemplo, mañana podría dejar de colaborar en la empresa, entonces habría que modificar el código fuente y publicar nuevamente la aplicación de ASP.NET MVC para poder reflejar esos cambios. Esto es absurdo! Hay una mejor maneja, y es utilizando roles.

A nivel de roles: El concepto de rol se refiere a que podemos otorgar responsabilidades a nuestros usuarios colocándolos en un rol. Por ejemplo: Podemos tener un rol de nombre "ApruebaPrestamos", entonces todos los usuarios que puedan aprobar préstamos pueden ser incluidos en dicho rol (esto lo podemos manjear a través de SQL Server). De manera que, incluir o remover usuarios del rol "ApruebaPrestamos" es algo que podemos realizar vía SQL Server, o vía una pantalla en nuestra aplicación, pero no necesitamos cambiar el código fuente para que esto funcione. Esto es lo ideal. Para utilizar roles con Authorize, abre un paréntesis luego de Authorize y escribe Roles = nombre de los roles, separados por coma si son más de uno.

En el tema de las restricciones, a lo mejor queramos también hablar de excepciones a la regla. Por ejemplo, si colocamos un Authorize a nivel del controlador, esto hace que se aplique dicho Authorize a cada uno de sus Acciones. Sin embargo, podemos quitar la restricción a una o varias Acciones colocando el atributo AllowAnonymous.