asp.net的身份驗證有有三種，分別是"windows | forms | passport"，其中又以forms驗證用的最多，也最靈活。
forms 驗證方式對基于用戶的驗證授權提供了很好的支持，可以通過一個登錄頁面驗證用戶的身份，將此用戶的身份發回到客戶端的cookie，之后此用戶再訪問這個web應用就會連同這個身份cookie一起發送到服務端。服務端上的授權設置就可以根據不同目錄對不同用戶的訪問授權進行控制了。

問題來了，在實際是用中我們往往需要的是基于角色，或者說基于用戶組的驗證和授權。對一個網站來說，一般的驗證授權的模式應該是這樣的：根據實際需求把用戶分成不同的身份，就是角色，或者說是用戶組，驗證過程不但要驗證這個用戶本身的身份，還要驗證它是屬于哪個角色的。而訪問授權是根據角色來設置的，某些角色可以訪問哪些資源，不可以訪問哪些資源等等。要是基于用戶來授權訪問將會是個很不實際的做法，用戶有很多，還可能隨時的增減，不可能在配置文件中隨時的為不斷增加的新用戶去增加訪問授權的。

下面大概的看一下forms的過程。

forms身份驗證基本原理：

一 身份驗證

要采用forms身份驗證，先要在應用程序根目錄中的web.config中做相應的設置:

<authentication mode="forms">
    <forms name=".aspxauth " loginurl="/login.aspx" timeout="30" path= "/">
    </forms>
</authentication>

其中<authentication mode= "forms"> 表示本應用程序采用forms驗證方式。
1. <forms>標簽中的name表示指定要用于身份驗證的 http cookie。默認情況下，name 的值是 .aspxauth。采用此種方式驗證用戶后,以此用戶的信息建立一個formsauthenticationticket類型的身份驗證票,再加密序列化為一個字符串,最后將這個字符串寫到客戶端的name指定名字的cookie中.一旦這個cookie寫到客戶端后,此用戶再次訪問這個web應用時會將連同cookie一起發送到服務端,服務端將會知道此用戶是已經驗證過的.

再看一下身份驗證票都包含哪些信息呢,我們看一下formsauthenticationticket類:
cookiepath： 返回發出 cookie 的路徑。注意，窗體的路徑設置為 /。由于窗體區分大小寫，這是為了防止站點中的 url 的大小寫不一致而采取的一種保護措施。這在刷新 cookie 時使用
expiration： 獲取 cookie 過期的日期/時間。
ispersistent： 如果已發出持久的 cookie，則返回 true。否則，身份驗證 cookie 將限制在瀏覽器生命周期范圍內。
issuedate： 獲取最初發出 cookie 的日期/時間。
name： 獲取與身份驗證 cookie 關聯的用戶名。
userdata ：獲取存儲在 cookie 中的應用程序定義字符串。
version： 返回字節版本號供將來使用。

2. <forms>標簽中的loginurl指定如果沒有找到任何有效的身份驗證 cookie，為登錄將請求重定向到的 url。默認值為 default.aspx。loginurl指定的頁面就是用來驗證用戶身份的,一般此頁面提供用戶輸入用戶名和密碼,用戶提交后由程序來根據自己的需要來驗證用戶的合法性(大多情況是將用戶輸入信息同數據庫中的用戶表進行比較),如果驗證用戶有效,則生成同此用戶對應的身份驗證票,寫到客戶端的cookie,最后將瀏覽器重定向到用戶初試請求的頁面.一般是用formsauthentication.redirectfromloginpage 方法來完成生成身份驗證票,寫回客戶端,瀏覽器重定向等一系列的動作.

public static void redirectfromloginpage( string username, bool createpersistentcookie, string strcookiepath );

其中:
username： 就是此用戶的標示,用來標志此用戶的唯一標示,不一定要映射到用戶賬戶名稱.
createpersistentcookie： 標示是否發出持久的 cookie。
若不是持久cookie，cookie的有效期expiration屬性有當前時間加上web.config中timeout的時間，每次請求頁面時，在驗證身份過程中，會判斷是否過了有效期的一半，要是的話更新一次cookie的有效期；若是持久cookie，expiration屬性無意義，這時身份驗證票的有效期有cookie的expires決定，redirectfromloginpage方法給expires屬性設定的是50年有效期。
strcookiepath： 標示將生成的cookie的寫到客戶端的路徑，身份驗證票中保存這個路徑是在刷新身份驗證票cookie時使用（這也是生成cookie的path），若沒有strcookiepath 參數，則使用web.config中 path屬性的設置。

這里可以看到,此方法參數只有三個,而身份驗證票的屬性有七個,不足的四個參數是這么來的:
issuedate： cookie發出時間由當前時間得出,
expiration：過期時間由當前時間和下面要說的<forms>標簽中timeout參數算出。此參數對非持久性cookie有意義。
userdata： 這個屬性可以用應用程序寫入一些用戶定義的數據,此方法沒有用到這個屬性,只是簡單的將此屬性置為空字符串,請注意此屬性,在后面我們將要使用到這個屬性。
version： 版本號由系統自動提供.

redirectfromloginpage方法生成生成身份驗證票后，會調用formsauthentication.encrypt 方法，將身份驗證票加密為字符串，這個字符串將會是以.aspxauth為名字的一個cookie的值。這個cookie的其它屬性的生成：domain，path屬性為確省值，expires視createpersistentcookie參數而定，若是持久cookie，expires設為50年以后過期；若是非持久cookie，expires屬性不設置。
生成身份驗證cookie后，將此cookie加入到response.cookies中，等待發送到客戶端。
最后redirectfromloginpage方法調用formsauthentication.getredirecturl 方法獲取到用戶原先請求的頁面，重定向到這個頁面。

3. <forms>標簽中的timeout和path,是提供了身份驗證票寫入到cookie過期時間和默認路徑。

以上就是基于forms身份驗證的過程，它完成了對用戶身份的確認。下面介紹基于forms身份驗證的訪問授權。

二 訪問授權

驗證了身份，是要使用這個身份，根據不同的身份我們可以進行不同的操作，處理，最常見的就是對不同的身份進行不同的授權，forms驗證就提供這樣的功能。forms授權是基于目錄的，可以針對某個目錄來設置訪問權限，比如，這些用戶可以訪問這個目錄，那些用戶不能訪問這個目錄。
同樣，授權設置是在你要控制的那個目錄下的web.config文件中來設置：
<authorization>
    <allow users="comma-separated list of users"
        roles="comma-separated list of roles"
        verbs="comma-separated list of verbs" />
     <deny users="comma-separated list of users"
        roles="comma-separated list of roles"
        verbs="comma-separated list of verbs" />
</authorization>

<allow>標簽表示允許訪問，其中的屬性
1. users：一個逗號分隔的用戶名列表，這些用戶名已被授予對資源的訪問權限。問號 (?) 允許匿名用戶；星號 (*) 允許所有用戶。
2. roles：一個逗號分隔的角色列表，這些角色已被授予對資源的訪問權限。
3. verbs：一個逗號分隔的 http 傳輸方法列表，這些 http 傳輸方法已被授予對資源的訪問權限。注冊到 asp.net 的謂詞為 get、head、post 和 debug。

<deny>標簽表示不允許訪問。其中的屬性同上面的。

在運行時，授權模塊迭代通過 <allow> 和 <deny> 標記，直到它找到適合特定用戶的第一個訪問規則。然后，它根據找到的第一項訪問規則是 <allow> 還是 <deny> 規則來允許或拒絕對 url 資源的訪問。machine.config 文件中的默認身份驗證規則是 <allow users="*"/>，因此除非另行配置，否則在默認情況下會允許訪問。

那么這些user 和roles又是如何得到的呢？下面看一下授權的詳細過程：

1. 一旦一個用戶訪問這個網站，就行登錄確認了身份，身份驗證票的cookie也寫到了客戶端。之后，這個用戶再次申請這個web的頁面，身份驗證票的cookie就會發送到服務端。在服務端，asp.net為每一個http請求都分配一個httpapplication對象來處理這個請求，在httpapplication.authenticaterequest事件后，安全模塊已建立用戶標識，就是此用戶的身份在web端已經建立起來，這個身份完全是由客戶端發送回來的身份驗證票的cookie建立的。
2. 用戶身份在httpcontext.user 屬性中，在頁面中可以通過page.context 來獲取同這個頁面相關的httpcontext對象。對于forms驗證，httpcontext.user屬性是一個genericprincipal類型的對象，genericprincipal只有一個公開的屬性identity，有個私有的m_role屬性，是string[]類型，存放此用戶是屬于哪些role的數組，還有一個公開的方法isinrole(string role)，來判斷此用戶是否屬于某個角色。
由于身份驗證票的cookie中根本沒有提供role這個屬性，就是說forms身份驗證票沒有提供此用戶的role信息，所以，對于forms驗證，在服務端得到的genericprincipal 用戶對象的m_role屬性永遠是空的。
3. genericprincipal. identity 屬性是一個formsidentity類型的對象，這個對象有個name屬性，就是此用戶的標示，訪問授權就是將此屬性做為user來進行授權驗證的。formsidentity還有一個屬性，就是ticket屬性，此屬性是身份驗證票formsauthenticationticket類型，就是之前服務器寫到客戶端的身份驗證票。
服務器在獲取到身份驗證票formsauthenticationticket對象后，查看這個身份驗證票是不是非持久的身份驗證，是的話要根據web.config中timeout屬性設置的有效期來更新這個身份驗證票的cookie（為避免危及性能，在經過了超過一半的指定時間后更新該 cookie。這可能導致精確性上的損失。持久性 cookie 不超時。）
4. 在httpapplication.resolverequestcache事件之前，asp.net開始取得用戶請求的頁面，建立httphandler控制點。這就意味著，在httpapplication.resolverequestcache事件要對用戶訪問權限就行驗證，看此用戶或角色是否有權限訪問這個頁面，之后在這個請求的生命周期內再改變此用戶的身份或角色就沒有意義了。

以上是forms驗證的全過程，可以看出，這個forms驗證是基于用戶的，沒有為角色的驗證提供直接支持。身份驗證票formsauthenticationticket 中的name屬性是用戶標示，其實還有一個屬性userdata，這個屬性可以由應用程序來寫入自定義的一些數據，我們可以利用這個字段來存放role的信息，從而達到基于角色驗證的目的。

forms身份驗證基于角色的授權

一 身份驗證

在web.config的<authentication>的設置還是一樣：

<authentication mode="forms">
    <forms name=".aspxauth " loginurl="/login.aspx" timeout="30" path= "/">
    </forms>
</authentication>

/login.aspx驗證用戶合法性頁面中，在驗證了用戶的合法性后，還要有個取得此用戶屬于哪些role的過程，這個看各個應用的本身如何設計的了，一般是在數據庫中會有個use_role表，可以從數據庫中獲得此用戶屬于哪些role，在此不深究如何去獲取用戶對應的role，最后肯定能夠獲得的此用戶對應的所有的role用逗號分割的一個字符串。
在上面的非基于角色的方法中，我們用了formsauthentication.redirectfromloginpage 方法來完成生成身份驗證票,寫回客戶端,瀏覽器重定向等一系列的動作。這個方法會用一些確省的設置來完成一系列的動作，在基于角色的驗證中我們不能用這一個方法來實現，要分步的做，以便將一些定制的設置加進來：

1. 首先要根據用戶標示，和用戶屬于的角色的字符串來創建身份驗證票
public formsauthenticationticket(
int version, //設為1
string name, //用戶標示
datetime issuedate, //cookie 的發出時間, 設置為 datetime.now
datetime expiration, //過期時間
bool ispersistent, //是否持久性(根據需要設置,若是設置為持久性,在發出
cookie時,cookie的expires設置一定要設置)
string userdata, //這里用上面準備好的用逗號分割的role字符串
string cookiepath // 設為"/",這要同發出cookie的路徑一致,因為刷新cookie
要用這個路徑
);

formsauthenticationticket ticket = new formsauthenticationticket (1,"kent",datetime.now, datetime.now.addminutes(30), false,userroles,"/") ;

2. 生成身份驗證票的cookie
2.1 將身份驗證票加密序列化成一個字符串
string hashticket = formsauthentication.encrypt (ticket) ;
2.2 生成cookie
httpcookie usercookie = new httpcookie(formsauthentication.formscookiename, hashticket) ;
formsauthentication.formscookiename 是用來獲取web.config中設置的身份驗證cookie的名字,缺省為" .aspxauth".
若身份驗證票中的ispersistent屬性設置為持久類,則這個cookie的expires屬性一定要設置,這樣這個cookie才會被做為持久cookie保存到客戶端的cookie文件中.
3. 將身份驗證票cookie輸出到客戶端
通過response.cookies.add(usercookie) 將身份驗證票cookie附加到輸出的cookie集合中,發送到客戶端.
4. 重定向到用戶申請的初試頁面.

驗證部分代碼(這部分代碼是在login.aspx頁面上點擊了登錄按鈕事件處理代碼):

private void buttonlogin_click(object sender, system.eventargs e)
{
     string user = textboxuser.text; //讀取用戶名
     string password = textboxpassword.text; //讀取密碼
     if(confirm(user,password) == true) //confirm方法用來驗證用戶合法性的
    {
         string userroles = usertorole(user); //調用usertorole方法來獲取role字符串
         formsauthenticationticket ticket = new formsauthenticationticket (1,user,datetime.now,          datetime.now.addminutes(30), false,userroles,"/") ; //建立身份驗證票對象
         string hashticket = formsauthentication.encrypt (ticket) ; //加密序列化驗證票為字符串
         httpcookie usercookie = new httpcookie(formsauthentication.formscookiename, hashticket) ;
//生成cookie
          context.response.cookies.add (usercookie) ; //輸出cookie
         context.response.redirect (context.request["returnurl"]) ; // 重定向到用戶申請的初始頁面
     }
    else
    {
        // 用戶身份未被確認時的代碼
    }
}
//此方法用來驗證用戶合法性的
private bool confirm(string user,string password)
{
    //相應的代碼
}
//此方法用來獲得的用戶對應的所有的role用逗號分割的一個字符串
private string usertorole(string user)
{
    //相應的代碼
}

二 基于角色訪問授權

這里我們要做的是,將客戶端保存的身份驗證票中userdata中保存的表示角色的信息恢復到在服務端表示用戶身份的genericprincipal對象中(記住,原來的驗證過程中, genericprincipal對象只包含了用戶信息,沒有包含role信息)
一個http請求的過程中,httpapplication.authenticaterequest事件表示安全模塊已建立用戶標識，就是此用戶的身份在web端已經建立起來, 在這個事件之后我們就可以獲取用戶身份信息了.
在httpapplication.resolverequestcache事件之前，asp.net開始取得用戶請求的頁面，建立httphandler控制點,這時就已經要驗證用戶的權限了,所以恢復用戶角色的工作只能在httpapplication.authenticaterequest事件和httpapplication.resolverequestcache事件之間的過程中做.
我們選擇application_authorizerequest事件中做這個工作,可以在global.asax文件中處理httpapplication的所有的事件,代碼如下:

protected void application_authorizerequest(object sender, system.eventargs e)
{
    httpapplication app = (httpapplication) sender;
     httpcontext ctx = app.context ; //獲取本次http請求相關的httpcontext對象
    if (ctx.request.isauthenticated == true) //驗證過的用戶才進行role的處理
    {
        formsidentity id = (formsidentity)ctx.user.identity ;
        formsauthenticationticket ticket = id.ticket ; //取得身份驗證票
        string[] roles = ticket.userdata.split (',') ; //將身份驗證票中的role數據轉成字符串數組
        ctx.user = new genericprincipal (id, roles) ; //將原有的identity加上角色信息新建一個genericprincipal表示當前用戶,這樣當前用戶就擁有了role信息
    }
}

訪問者同時具有了user和role信息,就可以據此在web.config中用role來控制用戶的訪問權限了.