ASP.NET MVC consente di sfruttare pienamente l'infrastruttura di security di ASP.NET. Da web.config, infatti, si può attivare la forms authentication nello stesso modo utilizzato per le web forms:

<authentication mode="Forms">
  <forms loginUrl="~/Account/LogIn" />
</authentication>

Una possibile implementazione della action di LogIn è quella contenuta nell'applicazione di esempio del template ASP.NET MVC di Visual Studio. Tramite l'utilizzo dell'action filter Authorize, si possono impostare le regole di sicurezza desiderate sul controller o sulla singola action da proteggere:

[Authorize]
public class SecureController : Controller
{
    public ActionResult Index()
    {
        return View();
    }
}

In questo caso, ad esempio, tutte le action di SecureController potranno essere invocate solo da un utente autenticato, mentre un anonimo verrà automaticamente rimandato alla pagina di login. Se necessario, è possibile restringere le autorizzazioni solo ad alcuni utenti o ad alcuni ruoli specifici:

[Authorize(Roles = "administrator")]
public ActionResult CriticalAction()
{
    return View();
}