ASP.NET身份验证和授权的基本概念

原文url:[url]http://www.cnblogs.com/me-sa/archive/2007/08/06/au.html[/url]

摘要：
客户端向服务端请求资源（例如请求一个页面）的总体流程是：请求资源－－》IIS验证－－－》IIS授权－－》ASP.NET验证－－》ASP.NET授权－－》返回资源给客户。
1、身份验证
解决谁有权进入系统的问题。
专业说法：接收用户凭据，并根据指定的颁发机构来验证凭据的过程成为身份验证。
提供三种身份验证方式：Windows验证 、Forms验证 、Passport验证
[list]
[*]Windows验证
使用这种验证方式IIS中必须要禁用匿名访问，适用于受控环境中，比如企业的Intranet。
[*]Forms验证
使用Cookie保存用户凭证，并将未通过验证的用户重定向到登录页。通常这时的IIS配置为匿名访问，适合部署于互联网的网站应用。
[*]Passport验证
通过微软的集中身份验证服务执行，它为成员站点提供单点登录和配置文件服务。适用于跨站点应用，一旦用户注销，所有的护照信息就会清除，可以在公共场所使用它。
[/list]
2、授权
确认用户拥有足够的权限来访问请求的资源。
Asp.net提供两类授权服务：文件授权服务 、URL授权服务