默认情况下，ASP.NET 成员资格可支持所有 ASP.NET 应用程序。默认成员资格提供程序为 SqlMembershipProvider 并在计算机配置中以名称 AspNetSqlProvider 指定。SqlMembershipProvider 的默认实例配置为连接到 Microsoft SQL Server 的一个本地实例。

在系统盘找到并打开machine.config，找到AspNetSqlMembershipProvider节点:

   <membership>
      <providers>
        <add name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" connectionStringName="LocalSqlServer" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true" applicationName="/" requiresUniqueEmail="false" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="7" minRequiredNonalphanumericCharacters="1" passwordAttemptWindow="10" passwordStrengthRegularExpression="" />
      </providers>
    </membership>

看到没有，其实这个就是一个最基本的Membership配置了，只不过是还少了一个defaultProvider属性的指定，指定了这个属性后，你再使用Login控件，进行用户登录验证就无需使用任何代码了。

我们也可以通过修改默认设置将一个非 AspNetSqlProvider 实例的 SqlMembershipProvider 指定为默认提供程序，或使用 Web.config 文件将自定义提供程序的实例指定为 ASP.NET 应用程序的默认提供程序。可以使用 Web.config 文件中 membership 配置节来为 Web 应用程序指定 ASP.NET 成员资格配置。可以使用 membership 节的 providers 子节来指定默认提供程序之一以外的成员资格提供程序。例如，下面的 membership 节从当前应用程序配置中移除默认成员资格提供程序并添加一个名为 SqlProvider 的新提供程序，它连接到名为 MySqlServer 的 SQL Server 实例。

membership既然是用于成员资格管理，当然要求登录验证身份，所以首先加上一个forms验证。

<authentication mode="Forms">
 <forms loginUrl="login.aspx" name=".aspxlogin"/>
</authentication>

同样在system.web节点下添加membership节点。

<membership defaultProvider="AspNetSqlMembershipProvider" userIsOnlineTimeWindow="15" hashAlgorithmType="">
            <providers>
                <clear/>
                <add connectionStringName="ConnectionString" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true" applicationName="/" requiresUniqueEmail="false" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="7" minRequiredNonalphanumericCharacters="1" passwordAttemptWindow="10" passwordStrengthRegularExpression="" name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
            </providers>
        </membership>

属性解释说明：

defaultProvider：提供程序的名称。默认为 AspNetSqlMembershipProvider。如果你有多个Provider的话，指定一个默认值是明智的做法
userIsOnlineTimeWindow：指定用户在最近一次活动的日期/时间戳之后被视为联机的分钟数。
hashAlgorithmType：用于哈希密码的算法的标识符，或为空以使用默认哈希算法。connectionStringName：membership数据库的连接名称。
enablePasswordRetrieval：指示当前成员资格提供程序是否配置为允许用户检索其密码。
enablePasswordReset：指示当前成员资格提供程序是否配置为允许用户重置其密码。 
requiresQuestionAndAnswer：指示默认成员资格提供程序是否要求用户在进行密码重置和检索时回答密码提示问题。
applicationName：应用程序的名称。
requiresUniqueEmail：指示成员资格提供程序是否配置为要求每个用户名具有唯一的电子邮件地址。 
passwordFormat：指示在成员资格数据存储区中存储密码的格式。值可选Clear、Encrypted 和 Hashed。Clear 密码以明文形式存储，这可以提高存储和检索密码的性能，但安全性较差，当数据源安全性受到威胁时此类密码很容易被读取。Encrypted 密码在存储时进行了加密，可以在比较或检索密码时进行解密。此类密码在存储和检索时需要进行额外的处理，但比较安全，在数据源的安全性受到威胁时不容易被获取。Hashed 密码在存储到数据库时使用单向哈希算法和随机生成的 salt 值进行哈希处理。在验证某一密码时，将用数据库中的 salt 值对该密码进行哈希计算以进行验证。无法检索哈希密码。
maxInvalidPasswordAttempts：锁定成员资格用户前允许的无效密码或无效密码提示问题答案尝试次数。
minRequiredPasswordLength：密码所要求的最小长度。
minRequiredNonalphanumericCharacters：有效密码中必须包含的最少特殊字符数。 
passwordAttemptWindow：在锁定成员资格用户之前允许的最大无效密码或无效密码提示问题答案尝试次数的分钟数。这是为了 防止不明来源反复尝试来猜测成员资格用户的密码或密码提示问题答案的额外措施。
passwordStrengthRegularExpression：计算密码的正则表达式。

为membership配置web.config后，再配置其角色管理roleManager，也是在system.web下。

<roleManager enabled="true" cacheRolesInCookie="true">
     <providers>
     <clear/>
     <add connectionStringName="ConnectionString" applicationName="/" name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
     </providers>
</roleManager>

属性解释说明：
cacheRolesInCookie：指示当前用户的角色是否已缓存在某个 Cookie 中。
当 CacheRolesInCookie 属性在配置文件中设置为 true 时，每个用户的角色信息就会存储在客户端上的某个 Cookie 中。当角色管理检查确定某个用户是否属于某个特定角色时，在调用角色提供程序在数据源中检查角色列表之前，将先检查角色 Cookie。该 Cookie 在客户端上会动态更新以缓存最近已验证的角色名称。

到这里，web.config就配置差不多了。