前序

     .net提供了3种用户认证的方式，分别是Windows,Forms，Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。我们常用的是forms形式。forms验证就是表单认证，提供了以身份id和密码的形式进行验证和授权管理的功能。

它运行的一个流程：

配置web.config

     配置方法如下，没有验证的用户根据配置自动跳转到loginUrl里面的页面去登陆。

		<authentication mode="Forms">			<forms loginUrl="~/Login.aspx" defaultUrl="~/Default.aspx"/>		</authentication>

		<authorization>			<deny users="?"/>		</authorization>

      现在问题是当我们要控制访问的文件是静态文件，比如图片、html页面时，在Visual Studio自带的Devolopment Server使用一点问题也没有。但是在发布到IIS上时就会出现问题。web.config中配制的授权对静态内容不起作用，明明这个test.html页面被限制匿名访问了，但还是能不登录就看到。分析其原因是因为这些静态内容IIS根本就没有转交给aspnet_isapi进行处理，所以配置的授权对它们根本不起作用。

解决办法

      IIS7有两种运行模式：经典模式和集成模式。两种模式下的设置是不一样的。

      1、先来看集成模式：此模式下需修改两个模块（UrlAuthorization、FormsAuthentication）的默认配制，取消选择“仅针对向ASP.NET应用程序或托管处理程序发出的请求调用  ”

      记住UrlAuthorization、FormsAuthentication这两个模块都要改，刚开始我只改了UrlAuthorization，结果匿名用户倒是访问不了了，但是页面没有自动转到登录页面，显示如下错误：

       2、再来看经典模式下，此时类似于IIS6，只要添加上通配符脚本映射就行了。

总结

      其实原理很简单，都只是要让IIS把静成内容都转交给asp.net处理就OK了。