配置 authorization deny allow-优快云博客

本文深入探讨了ASP.NET中的身份验证和授权过程，包括如何使用Forms身份验证模式来实现用户登录，并通过配置授权策略来控制不同用户对特定资源的访问权限。重点讲解了匿名访问的限制与所有用户访问的允许，以及如何自定义票据，获取用户角色并写入到票据中。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

http://blog.youkuaiyun.com/wwlearn/article/details/5457310

<authorization>
    <deny users = "?"/>
    <allow users= "*" />
</authorization>

？：匿名用户，也就是没有登入的用户不能访问。
*：所有用户，所有用户都不能访问。

<deny users = "?"/>、是拒绝匿名用户访问
<allow users= "*" /> 允许所有的用户访问包括匿名用户

<authentication mode="Forms">
     <forms name=".ASPXAUTH" loginUrl="~/login.aspx"></forms>
       
   </authentication>
   <authorization>
     <deny users="?"></deny> 
   </authorization>

<location path="Default.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

// 自定义票据，获取用户的roles，写到票据中。票据会携带在cookie中。
           FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
               1,                                         // version
               loginID,                               // user name
               DateTime.Now,                              // creation
               DateTime.Now.AddMinutes(60 * 20),               // Expiration
               false,                                     // Persistent
               "");                              // userData

           String encryptedTicket = FormsAuthentication.Encrypt(authTicket);
           HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
           Response.Cookies.Add(authCookie);

转载于:https://www.cnblogs.com/shiningrise/archive/2013/03/09/2951784.html