用户的身份验证和授权是许多Web站点和基于浏览器的应用程序的重要功能。传统上，处理Microsoft的Windows Forms应用程序(胖客户)时，使用Windows Integrated Authentication；处理基于浏览器的应用程序(瘦客户)时，使用Forms验证。

Forms验证可以获取未验证的请求，使用HTTP客户端重定向功能，把它们重定向到一个HTML窗体上。用户提供登录信息，然后提交窗体。应用程序验证了该请求后，用户就会接收到一个HTTP cookie，用于后续的请求。这种验证在许多方面都比较好，但需要开发人员建立所有的元素，甚至管理整个系统的后端机制。这对许多开发人员来说是一个可怕的任务，在大多数情况下，非常费时。

ASP.NET 2.0引入了一个新的身份验证和授权管理服务，来处理登录、身份验证、授权和管理需要访问Web页面或应用程序的用户。这个杰出的成员和角色管理服务是一个易于实现的架构，它使用Microsoft SQL Server作为后端数据库。这个新架构也包含一个新的API，可以编程访问成员和角色管理服务的功能。另外，许多新服务器控件简化了Web应用程序的创建，将这些服务提供的功能组合在一起。

在介绍ASP.NET 2.0的成员和角色管理功能之前，先快速复习一下身份验证和授权。

18.1  身份验证

身份验证是确定用户身份的过程。在用户通过身份验证后，开发人员就可以确定已验证的用户身份有权继续下去。如果没有进行身份验证过程，就不能给用户授予实体权限。在ASP.NET 2.0中，是使用新的成员服务来提供身份验证的。