Chế độ cấp phép URL sử dụng các yếu tố <allow> và <deny> của phần tử cấu hình <authorization> để kiểm soát truy cập file, thư mục bên trong ứng
dụng, giống như trong ví dụ ở thẩm định Forms. Truy cập có thể được cho phép hoặc bị từ chối dựa trên tên người dùng (username), vai trò (role) và phương thức HTTP dùng để yêu cầu tài nguyên. Do đó, lấy ví dụ, nếu cho phép người dùng Marcie truy cập tất cả tài nguyên trong ứng dụng theo tất cả phương thức yêu cầu của HTTP, nhưng cấm người dùng Charles thực hiện yêu cầu POST, chúng ta sẽ phải thêm phần <authentication>vào sau file
web.config ở mức gốc của ứng dụng (hoặc có thể thêm phần
<authentication>vào file web.config trong một thư mục con để ghi đè hoặc thêm các thiết lập):
<authorization>
<allow verb="GET" users="*" />
<allow verb="POST" users="Marcie" /> <deny verb="POST" users="Charles" /> <deny users="?" />
</authorization>
Như trên hình 9-1, chúng ta có thể dùng thẻ <location> với thuộc tính path cho điều khiển truy cập của một file hay folder cụ thể:
<system.web> <authorization> <deny users="?"/> </authorization> </system.web> </location>
Do thẻ <location> trong file web.config đòi hỏi cặp thẻ <system.web> riêng của nó nên thẻ <location> luôn xuất hiện bên trong các thẻ <configuration> và </configuration> nhưng bên ngoài các thẻ <system.web>và
</system.web>. Chúng ta có thể định nghĩa ít hay nhiều thẻ <location> khác nhau tuỳ ý. Mỗi thể có thể chứa những giới hạn cấp phép URL riêng.
Để mô tả miền thay cho các tài khoản hay nhóm cục bộ, chúng ta có thể sử dụng định dạng domainname\ userorgroupname khi mô tả tên trong
<allow>và <deny>. Có hai ký tự đặc biệt: “*” cho phép tất cả người dùng, “?” là chỉ những người dùng nặc danh (không qua thẩm định). Cuối cùng, có thể mô tả nhiều người dùng hoặc nhóm người dùng cùng một lúc trong
<allow>và <deny> bằng dấu phẩy.