通常情况下，网站上的大部分资源都是开放的，Internet上的任何用户都可以进入网站，并且查看网站中的信息。但是有些资源是严格禁止无权限的用户随意访问的，比如，银行帐户或个人的服亲交易账户等。因此，正确辨别用户身份，并且严格控制用户对资源的访问权限，建立严密而完善的完全机制，是Web应用程序安全性中最重要，也是最基本的一个环节。

通过学习本章，您可以：

● 掌握基千Windows的身份验证模式

● 掌握基本身份验证

● 掌握摘要式身份验证

● 掌握集成Windows身份验证

● 掌握基于窗体的身份验证模式

● 熟悉ASP.NET提供的授权方式

什么是安全性呢？安全性是对用户的身份进行验证，并对通过验证的用户按照为其授予的访问权限来确定用户是否可以访问某种资源的一个过程。

ASP.NET与IIS、.NET Framework和操作系统的底层安全性服务相结合，可以实现多种身份验证和授权机制。一个ASP.NET应用程序的总的安全性是由以下3个不同层级组成：

● IIS级将一个有效的安全性令牌（Security Token）与请求的发送者相关联。该安全性令牌根据当前的IIS身份验证机制确定。

● ASP.NET工作进程级确定ASP.NET工作进程中服务请求的线程的身份。如果启用了假冒设置，可能会改变与该线程关联的安全性令牌。根据正在使用的进程模型，其安全性令牌由配置文件或IIS原数据库中的设置决定。

● ASP.NET管道级获得使用应用程序的特定用户的身份。该任务的完成方式取决于配置文件中用于身份验证和授权的应用程序设置。大多数ASP.NET应用程序的常见设置是使用窗体验证。