Mit dem Attribut Authorize legt der Entwickler fest, dass eine Action-Methode lediglich von angemeldeten Benutzern angestoßen werden darf (Listing 8.3). Daneben besteht die Möglichkeit, Über dessen Eigenschaft Roles eine kommaseparierte Liste an Rollen anzugeben. Wird davon Gebrauch gemacht, muss der Aufrufer eine dieser Rollen innehaben, um die jeweilige Operation aufrufen zu dürfen. Alternativ dazu kann der Entwickler mit Authorize auch die Namen ausgewählter Benutzer hinterlegen, die die Berechtigung haben, die Methoden zur Ausführung zu bringen. Hierzu ist die Eigenschaft Users vorgesehen, der ebenfalls eine kommaseparierte Liste zugewiesen werden kann.

public class SecureController : Controller { [Authorize] ...