ASP.NET身份驗證和授權的基本概念

原文url:[url]http://www.cnblogs.com/me-sa/archive/2007/08/06/au.html[/url]

摘要：
客戶端向服務端請求資源（例如請求一個頁面）的總體流程是：請求資源－－》IIS驗證－－－》IIS授權－－》ASP.NET驗證－－》ASP.NET授權－－》返回資源給客戶。
1、身份驗證
解決誰有權進入系統的問題。
專業說法：接收用戶憑據，並根據指定的頒發機構來驗證憑據的過程成爲身份驗證。
提供三種身份驗證方式：Windows驗證 、Forms驗證 、Passport驗證
[list]
[*]Windows驗證
使用這種驗證方式IIS中必須要禁用匿名訪問，適用於受控環境中，比如企業的Intranet。
[*]Forms驗證
使用Cookie保存用戶憑證，並將未通過驗證的用戶重定向到登錄頁。通常這時的IIS配置爲匿名訪問，適合部署於互聯網的網站應用。
[*]Passport驗證
通過微軟的集中身份驗證服務執行，它爲成員站點提供單點登錄和配置文件服務。適用於跨站點應用，一旦用戶註銷，所有的護照信息就會清除，可以在公共場所使用它。
[/list]
2、授權
確認用戶擁有足夠的權限來訪問請求的資源。
Asp.net提供兩類授權服務：文件授權服務 、URL授權服務