授权是决定一个已验证用户是否拥有足够的权限执行特定操作的过程。可以是请求一个网页、访问一个由操作系统控制的资源(文件或数据库等)或执行一个应用程序特定任务等。
URL 授权
设置安全权限最直接的方式是对单独的网页、Web服务、下级目录进行设置。理想的情况下,Web 程序框架应当支持资源特定的授权,而无需更改代码和重新编译程序。ASP.NET 通过 web.config 文件中设置授权规则满足了这个需求。
UrlAuthorizationModule这一特定的 HTTP 模块执行这一规则。它对每一次请求进行检查以确保用户无法访问你已经进行了限制的资源。这个类型的授权称为 URL 授权,因为它只考虑两个细节:用户的安全上下文和用户试图访问的资源的 URL 地址。
>
<allow users="comma-separated list of users" roles="comma-separated list of roles"
verbs="comma-separated list of verbs"/>
<deny users="comma-separated list of users" roles="comma-separated list of roles"
verbs="comma-separated list of verbs"/>
</authorization>