L'approccio utilizzato da ASP.NET Identity 2 per la configurazione delle regole di security è molto differente rispetto a quanto accadeva con Forms Authentication. Le impostazioni, infatti, non sono più contenute all'interno del file web.config, ma viene sfruttato il costruttore statico ApplicationUserManager.Create nel file IdentityConfig.cs.

Come già accennato nel nostro recente articolo sull'argomento, per default ASP.NET Identity utilizza un PasswordValidator che possiamo configurare intervenendo direttamente sul codice C#:

manager.PasswordValidator = new PasswordValidator
{
  RequiredLength = 6,
  RequireNonLetterOrDigit = true,
  RequireDigit = true,
  RequireLowercase = true,
  RequireUppercase = true,
};

Questo approccio ci permette una notevole flessibilità, perché con pochissimo sforzo possiamo implementare regole personalizzate. Immaginiamo, per esempio, di voler impedire l'uso di password troppo banali. Ci basterà creare una classe che implementi IIdentityValidator o, ancora meglio, che erediti da PasswordValidator, e che ridefinisca il metodo ValidateAsync.

public class DictionaryPasswordValidator : PasswordValidator
{
  public HashSet<string> ForbiddenWords { get; set; }

  public override async Task<IdentityResult> ValidateAsync(string item)
  {
    var result = await base.ValidateAsync(item);

    if (this.ForbiddenWords != null && this.ForbiddenWords.Any(x => x == item))
    {
      var errors = result.Errors.ToList();
      errors.Add("La password utilizzata è troppo semplice");

      return new IdentityResult(errors);
    }

    return result;
  }
}

Il metodo in alto esegue innanzitutto l'implementazione della classe base. Successivamente, verifica anche se la password sia contenuta nell'elenco delle ForbiddenWords che abbiamo specificato in fase di configurazione, restituendo un errore ulteriore in caso affermativo.

A questo punto non ci resta che utilizzarlo nella creazione dell'ApplicationUserManager:

manager.PasswordValidator = new DictionaryPasswordValidator
{
    RequiredLength = 6,
    ForbiddenWords = new HashSet<string> 
    {
        "password", "testtest", ....
    }
};

Uno dei limiti di PasswordValidator è che consente di implementare solo validazioni formali sulla password: non ci vengono infatti passate informazioni di contesto (come per esempio il nome utente) e pertanto non è possibile effettuare verifiche più specifiche, per esempio che la password non contenga lo username o che sia differente dalle ultime utilizzate.

In un prossimo script scopriremo come superare anche questo limite.