asp.net 身份验证（分目录验证篇）

在上一篇博文《asp.net中的身份验证（最简单篇）》中的身份验证虽然很简单，但是有一个缺点，就是访问整个网站都必须要经过身份验证，而事实上，很多网站都不会这么要求的。
比如一个新闻系统，通常只有在发布新闻的网页才需要身份验证，而用户浏览新闻是不需要身份验证的。对于这种情况，就要针对不同的网页来进行身份验证了。
要实现这种功能，也只要将《asp.net中的身份验证（最简单篇）》稍作修改，具体操作方式如下所示：
第一步、创建一个子文件夹，将所有要验证的网页都放在这个文件夹中，设置该文件夹的名字为“admin”。
第二步、修改web.config文件。
1、在<system.web>和</system.web>中找到<authentication>节，将其改为“<authentication mode="Forms"><forms loginUrl="~/admin/AdminLogin.aspx"></forms></authentication>”，其中Forms代表使用表单认证；loginUrl用于指定登录页面URL，个人比较喜欢将登录页面也放在admin文件夹中，所以在此要指定登录页面URL，如果还是想使用根目录中的login.aspx页面作为登录页面，则可以省略<forms>节。
2、在<system.web>和</system.web>中添加“<authorization><allow users="?"/></authorization>”，其中“<allow users="?"/>”代表允许所有的匿名用户。注意此处与《asp.net中的身份验证（最简单篇）》的区别，在《asp.net中的身份验证（最简单篇）》中，此处使用的是“<deny users="?"/>”，用于拒绝所有匿名用户。
第三步、在需要身份验证的子文件夹中添加一个web.config文件，在本例中为在“admin”文件夹中添加该文件。
第四步、修改需要身份验证的子文件夹中的web.config文件，在本例中为“admin”文件夹中的web.config文件。
在<system.web>和</system.web>中，添加“<authorization><deny users="?"/></authorization>”，由于在根目录中的web.config文件中声明了允许所有匿名用户访问，所以在不能允许匿名用户访问的子文件夹中，必须要使用“<deny users="?"/>”来拒绝匿名用户访问。另外，在子文件夹中的web.config文件中可以没有<authentication>节。
第五步、在“admin”子文件夹中创建AdminLogin.aspx文件。如