ASP.NET里面的身份验证和授权（三）

       我们在做系统登陆的例子时会发现，当用户名或密码错误的时候会提示信息错误；当我们的登陆身份不合法怎么办呢？通常来说我们会设置一个跳转页面，当身份不合法时就直接跳转到另一个页面上。在上一篇文章中我们说过，其中有段代码我们来过来看一下。

<authentication mode="Forms">
<forms name="authWeb" loginUrl="login.aspx" protection="All"></forms>
</authentication>

<authorization>
<allow allow="*" />   <!-- 允许所有用户登陆 -->
</authorization>

       代码中的loginUrl就是当你的身份不合法时需要转向它去登陆。这里，出现了authorization，对了，我们今天这篇文章说的就是它，它就是授权。

       我们平时所说的授权是什么意思呢？授权是组织运作的关键，它是以人为对象，江湾城某项工作所必须的权力授给部署人员。而在ASP.NET中，授权的意思是什么呢？其实大致的意思也跟我们平时说的差不多，不过表述得更直白一点，授权就是规定哪些用户可以登陆。其实我们在之前做系统的时候就涉及到了授权的问题，但是那时候或许我们并不知道那个叫做“授权”。也没有上升到理论层面，只是明白大概所以然，只是知道角色不同权限不同，权限的不同意味着使用者所触及的使用范围不同。

       下面我们来具体看一下授权。有个allow，有个deny
。allow是允许，deny是禁止。*代表所有账户，？代表匿名账户。咱们的代码中含义就是允许所有用户登陆。与此同时，下面的代码就是禁止匿名账户登陆。

<authorization>
<allow deny="?" />   <!-- 禁止匿名账户登陆 -->
</authorization>

       我把授权看成是检验用户身份的一个屏障，它就像是一个过滤的筛网，过滤不同的身份用户。授权的过程直接负责控制通过身份验证的客户端可以访问哪些资源、执行哪些操作。因此，我们要将授权足够的重视起来。包括我之前的两篇博客，都是针对ASP.NET里面的身份验证和授权来说的。与其说是身份验证和授权，不如说是针对系统安全来说的。身份验证和授权方面的内容都是在系统安全的基础上去实施拓展的。系统安全是贯穿我们软件开发的始终的，所以这个方面一定要重视起来。与此同时，授权的重要性远比我们这么三言两语、轻描淡写来得实在。况且，我刚刚接触ASP.NET，所认识的东西不过凤毛麟角而已。之所以写这几篇文章，形成一个系列，也是对之前已有知识的巩固，再者整理出来的知识远比在脑海中轻轻一掠来得深刻。