話說上回，簡單地說了一下 form 表單認證的用法。或許大家覺得太簡單，對那些大內高手來說應該是“灑灑水啦”“小 kiss 啦（小意思）”。今天咱們來點的花樣吧：古有六扇門，拒收葉孤城；東門不刮風，吹雪姓西門；緞帶作憑證，決戰紫禁城。

五、web.config 的作用范圍

新建項目時， vs.net 會在項目根目錄建立一個內容固定的 web.config。除了在項目根目錄，你還可以在任一目錄下建立 web.config ，條件就是應用程序級別的節點只能在根目錄的 web.config 中出現。至于哪些是應用程序級別節點呢，這個問題嘛，其實我也不太清楚，呵呵。電腦不是我發明的，微軟不是我創建的，c# 更不是我說了算的，神仙也有不知道的，所以我不曉得是正常的。話雖如此，只要它不報錯，那就是對的。

關于 web.config 設置的作用范圍，記住以下兩點：

1、  web.config 的設置將作用于所在目錄的所有文件及其子目錄下的所有東東（繼承：子隨父姓）

2、  子目錄下的 web.config 設置將覆蓋由父目錄繼承下來的設置（覆蓋：縣官不如現管）

給大家提個問題：有沒有比根目錄web.config 的作用范圍還大的配置文件呢？看完第三部分便知分曉。

六、學會拒絕與巧用允許

回到我們在第一回合新建的測試項目“formtest” ，既然要進行驗證，按國際慣例，就得有用戶名與密碼。那，這些用戶是管理員自己在數據庫建好呢，還是用戶注冊、管理員審核好呢。只要不是一般的笨蛋，都知道選擇后者。你們還別說，我公司還真有個別項目是管理員連到數據庫去建帳號的，屬于比較特殊的笨蛋，咱們不學他也罷，還是老老實實添加兩個頁面吧——注冊頁面（register.aspx）與審核頁面（auditing.aspx）。

問題終于就要浮出水面啦，當你做好 register.aspx 時，想訪問它的時候突然覺得不對勁，怎么又回到了登錄頁面？你仔細瞧瞧網址，是不是成了：login.aspx?returnurl=register.aspx 。怎么辦，用戶就是因為沒有帳號才去訪問注冊頁面的呀？（這句純屬廢話，有帳號誰還跑去注冊。）我時常對我的同事說：“辦法是人想出來滴！！”

1、  新建一個目錄 public ，用于存放一些公用的文件，如萬年歷、腳本呀……

2、  在“解決方案資源管理器”中右擊點擊目錄 public ，新增一個 web.config

3、  把上述 web.config 的內容統統刪除，僅留以下即可：

<?xml version="1.0" encoding="utf-8"?>

<configuration>

  <system.web>

   <authorization><allow users="*"/></authorization>

 </system.web>

</configuration>

終于切入正題了，不容易呀。根據“覆蓋”原則，我們知道上述 web.config 將替代根目錄 web.config 中的 <authorization> 節點設置，即：

       <allow users="*"/> 替換 <deny users="?"></deny>

注解：“allow”允許的意思；“*”表示所有用戶；

        “deny” 拒絕的意思；“?”表示匿名用戶；

因此，處于 public 目錄下的文件，允許所有人瀏覽，包括未驗證的用戶。把 register.aspx 拖進來吧，再也不會有人阻止你瀏覽啦。

除了注冊頁面，我們還提到一個審核頁面（auditing.aspx），審核權限一般都在管理員或主管手里，并不想讓其他人瀏覽此頁面（真理往往掌握在少數人的手里，這也是沒法子的事），怎么辦？“辦法是人想出來滴”呵呵……新建一個管理員的目錄 managesys ，在此目錄下再新增一個 web.config。內容如下：

<?xml version="1.0" encoding="utf-8"?>

<configuration>

<system.web>

<authorization>

<allow users="admin"/>

<deny users="*"/>

</authorization>

  </system.web>

</configuration>

現在的問題就是怎么才能知道誰是“admin”呢，這個問題就有點象“我的鞋底有個洞”—— 天不知地知，你不知我知。閑話少說（要是有稿費多好，我就有多寫幾個字的動力，唉……），大家還記得我在第一部分的結尾嗎？什么，忘啦！罰你回去看一百遍，記住了再回來。站住，回來！一想到你的記性，我就不放心，第一部分的瀏覽網址是http://blog.csdn.net/cityhunter172/archive/2005/11/06/524043.aspx，回到此處的網址是http://blog.csdn.net/cityhunter172/archive/2005/11/13/528463.aspx

好了，不管那些記不好的家伙了，大伙繼續往下看。

system.web.security.formsauthentication.setauthcookie(this.txt_username.text,false); //通過驗證，發放 cookie

之前我曾強調，要注意，第一個參數很重要，重要到什么程度？說到這，恐怕地球人都知道了——它就是allow與deny的依據。假如此處用戶填寫的是“admin”即 this.txt_username.text = "admin"; 那么進入系統后，他就能訪問 managesys 目錄下的網頁了，其它閑雜人等一律拒之門外。

為鞏固上述內容，給大伙留個課外作業：此項目有兩部門使用，其中每個部門分別都有些特定的頁面僅供本部門用戶瀏覽使用，請問該如何使用 web.config 達到效果？同樣，答案在第三部分揭曉