允许的授权指令元素为 allow 或 deny。每个 allow 或 deny 元素都必须包含 user 或 role 属性。通过提供一个逗号分隔的列表，可在单个元素中指定多个用户或角色。

可以使用 Verb 属性指示 HTTP 方法：

此示例允许 Mary 和 John POST 到受保护的资源，而只允许其他人使用 GET。

有两个特殊的用户名：

• *：所有用户
• ?：匿名（未经过身份验证的）用户

URL 授权分层计算，而用于确定访问权的规则如下所示：

• 从整个层次结构中收集与 URL 相关的规则，然后构造合并的规则列表。
• 将最新规则放置在列表的最前面。这意味着当前目录中的配置位于列表的最前面，后跟直接父级中的配置，依此类推，直到计算机的顶级文件。
• 对规则进行检查直到找到匹配项。如果匹配项是允许的值，则授予访问权。否则，将不允许访问。

给定计算机的默认顶级 Web.config 文件允许访问所有用户。除非应用程序的配置与此相反（假设用户已经过身份验证并通过文件授权 ACL 检查），否则将授予访问权。

检查角色时，URL 授权有效地遍历配置角色的列表，并执行类似以下伪代码的操作：

if(User.IsInRole("ConfiguredRole")) { ApplyRule(); } If User.IsInRole("ConfiguredRole") Then ApplyRule() End If if(User.IsInRole("ConfiguredRole")) { ApplyRule(); }
C#	VB	JScript

对于应用程序，这意味着使用您自己的实现 System.Security.Principal.IPrincipal 的类来提供您自己的角色映射语义，详见基于 Windows 的身份验证中的解释。

VB 使用 URL 授权的基于窗体的 /Cookie 身份验证 [运行示例] | [查看源代码]