在 Web.config 文件的<configuration>标记的子标记<authorization>和</authorization>之间用于设置应用程序的授权策略,容许或拒绝不同的用户或角色访问,该配置可以在计算机、站点、应用程序、子目录或页等级别上声明,必须与<authentication>节配合使用,在<authorization>和</authorization>之间可以采用通配符“?”表示匿名(未经身份验证的)用户、“*”表示任何人,基本语法格式如下。
<configuration>
<system.web>
<authorization>
<allow users="*" />
<!-- 允许所有用户 -->
<!-- <allow users="[逗号分隔的用户列表]"
roles="[逗号分隔的角色列表]"/>
<deny users="[逗号分隔的用户列表]"
roles="[逗号分隔的角色列表]"/>
-->
</authorization>
</system.web>
</configuration>
在上述<authorization>配置节中,标记“<!-- -->”表示注释,其中的内容可以根据需
要选择使用,allow表示允许访问,deny表示不允许访问。
另外,如果设置了权限,没有权限的用户将会报“401.2.: 未经授权:....................”的错误。