authentication — 认证; 身份验证; 证明，鉴定; 密押;

authorization — 授权，批准; 批准（或授权）的证书;

<authentication mode="Forms">
    <forms name=".ASPXAUTH" loginUrl="Login.aspx" protection="All" path="/" timeout="20"/>
</authentication>
<authorization>
    <deny users="?"></deny>
</authorization>

其中 authentication 是节点名，mode是模式，上述代码表示 采用windows身份验证，那么此时身份验证将交给iis处理

a、使mode为 Forms 则表示是用Forms身份验证

b、defaultUrl ="default.aspx" 表示默认页面是default.aspx

c、loginUrl="login.aspx" 表示登陆页面是login.aspx

d、protection="All" 表示 保护所有页面，但不能保护html页面，只能保护aspx页面。

e、节点中 deny users="?" 表示拒绝所有匿名用户，也就是说必须通过验证的用户才可以跳转到默认页或由程序指定一个跳转页，其中 "?" 表示匿名用户，也可以设置为 "*" 表示所有用户，或则指定一个用户名。

f、timeout 表示有效时间。

Forms身份验证的配置