接下来在要保护的文件夹里放一个web.config，要注意的是，这个子文件夹里的web.config的实际内容不能像根目录下的那个一样多，否则就会出现“配置错误”，提示“在应用程序级别以外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。导致该错误的原因可能是在 IIS 中没有将虚拟目录作为应用程序进行配置。”具体应该怎么做我也不清楚，总之这个web.config只要有下面的内容就ok了。
   

  当然也可以在顶层web.config文件中完成所有的url授权，而不是把它们分在各自目录下的web,config文件中。asp.net也支持这种做法。下面这个web,config文件，放在应用程序根目录下。
 如下：此设置是保护admin文件夹下的内容，拒绝匿名用户访问
 

   好了，设置完了，下面就开始为我们的窗体验证写代码了
   有两种方式，第一种，当网站的用户不是很多的时候，可以把用户和密码放到web.config里。办法就是在根目录下的web.config文件中加入一个credentials节，里面写上用户名和密码，这个是包含在forms节里面的。
   如下所示：

   在此种情况下  配合使用System.Web.Security.FormsAuthentication.Authenticate(string name,string password)验证credentials节中指定的用户名和密码，存在就返回true。


  下面着重介绍第二种方法，通过数据库读取用户名密码进行验证。
    1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
                              Roles(RoleID,RoleName)------存放角色名称
                              User_Role(UserID,RoleID)-----用户和角色的中间表，使头两张表成为多对多关系

    2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑
 

    在此也可以用 FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向，而是停留在本页，然后由自己选择导向的页面。

    3：然后就要用到global.asax文件下的Application_AuthenticateRequest事件了，此事件在每次访问aspx文件都会触发。
在其中加入如下代码，功能见注释:
   

   4：然后添加读取验证用户是否存在的访问数据库代码，和获得用户角色的代码。
      详细码略，这里主要争对三张表写出获得用户角色的存储过程
    

   至此，我们就完成了一般性的asp.net窗体验证的功能。