UrlAuthorizationModule 根据用户 Name 或用户所属角色列表确定当前用户是否允许访问所请求的 URL。有关如何确定用户名的信息,请参见 ASP.NET 身份验证。有关如何管理用户角色的信息,请参见 使用角色管理授权。
用户或角色的授权通过使用 authorization 配置元素进行管理。可以分别使用 allow 或 deny 子元素允许或拒绝用户或角色。allow 和 deny 子元素按其在配置中出现的顺序解释。元素指定允许或拒绝访问权后,UrlAuthorizationModule 完成其授权检查。例如,Web.config 文件中的以下 authorization 一节通过拒绝匿名用户来要求用户登录,然后只允许 Administrators 角色的用户进行访问。拒绝非 Administrators 角色的用户。
<authorization> <deny users="?" /> <allow roles="Administrators" /> <deny users="*" /> </authorization>
一个用户或角色必须特别指定为拒绝,才能拒绝该用户或角色对 URL 的权限。即,如果上面的示例没有指定 <deny users="*" /> 元素,则将允许所有通过身份验证的用户访问所请求的 URL,而不考虑其所属的角色。
================================
AuthorizationRuleCollection