在 Web.config 文件的<configuration>标记的子标记<authorization>和</authorization>之间用于设置应用程序的授权策略,容许或拒绝不同的用户或角色访问,该配置可以在计算机、站点、应用程序、子目录或页等级别上声明,必须与<authentication>节配合使用,在<authorization>和</authorization>之间可以采用通配符“?”表示匿名(未经身份验证的)用户、“*”表示任何人,基本语法格式如下。


<configuration>

  <system.web>

    <authorization>

      <allow users="*" />

      <!-- 允许所有用户 -->

      <!-- <allow  users="[逗号分隔的用户列表]"

               roles="[逗号分隔的角色列表]"/>

      <deny   users="[逗号分隔的用户列表]"

               roles="[逗号分隔的角色列表]"/>

-->

    </authorization>

  </system.web>

</configuration>


在上述<authorization>配置节中,标记“<!--   -->”表示注释,其中的内容可以根据需

要选择使用,allow表示允许访问,deny表示不允许访问。