UrlAuthorizationModule 类

UrlAuthorizationModule 根据用户 Name 或用户所属角色列表确定当前用户是否允许访问所请求的 URL。有关如何确定用户名的信息，请参见 ASP.NET 身份验证。有关如何管理用户角色的信息，请参见 使用角色管理授权。

用户或角色的授权通过使用 authorization 配置元素进行管理。可以分别使用 allow 或 deny 子元素允许或拒绝用户或角色。allow 和deny 子元素按其在配置中出现的顺序解释。元素指定允许或拒绝访问权后，UrlAuthorizationModule 完成其授权检查。例如，Web.config 文件中的以下authorization 一节通过拒绝匿名用户来要求用户登录，然后只允许 Administrators 角色的用户进行访问。拒绝非 Administrators 角色的用户。

复制

<authorization>  <deny users="?" />  <allow roles="Administrators" />  <deny users="*" /></authorization>

一个用户或角色必须特别指定为拒绝，才能拒绝该用户或角色对 URL 的权限。即，如果上面的示例没有指定 <deny users="*" /> 元素，则将允许所有通过身份验证的用户访问所请求的 URL，而不考虑其所属的角色。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

AuthorizationRuleCollection