ASP.NET 授权

可以使用授权来确定是否一个通过验证的用户已经访问了某个特定的资源。这个授权过程可以让我们限制用户的访问权限——通过赋予或者取消一个用户所能拥有的特定权限。ASP.NET提供了两种授权方式：文件授权和URL授权。

（1）ASP.NET 文件授权。当我们使用windows认证的时候，此方式自动生效，它基于IIS的认证。当用户尝试访问某个ASP.NET应用的受保护资源的时候，IIS首先对其进行验证，之后，ASP.NET检查NTFS文件权限或者ACL来确定此用户是否有权限访问资源。

（2）ASP.NET URL授权。当不使用windows认证的时候，可以使用ASP.NET URL授权。当用户尝试访问某个资源时，ASP.NET URL授权机制根据ASP.NET验证过程分配给application的角色和application的身份来同意或者拒绝请求者对资源的访问。使用ASP.NET URL授权可以做如下几件事情：
◆Deny or allow access to individual users or groups of users.
◆Deny or allow access to specific roles.
◆Restrict access based on the type of HTTP action attempted, such as Get or Post.

例子：

 
 users="Domain\user1, Domain\user2"/> 
 users="*"/> 
 

 
 users="?"/> 
 

 
 roles="Domain\Administrators"/> 
 users="*"/> 
 

 
 users="*"/> 
 roles="Domain\Administrators"/> 
 users="Domain\user1, Domain\user2"/> 
 

 VERB="POST" users="user1, user2" /> 
 VERB="POST" users="*" /> 
 VERB="GET" users="*" />