Приложения обычно имеют два «шлюза» безопасности - аутентификация и авторизация.
Самый простой способ - создать список в хранилище (например, SQL DB - или жесткий код для тестирования) авторизованных пользователей. Пусть Microsoft Authentication обрабатывает аутентификацию , а затем использует ваш список для авторизации . Перенаправление на HTTP-код состояния 403 запрещено, если пользователь отсутствует в списке разрешенных пользователей.
Вы могли бы сделать это немного более причудливым, внедрив группы / роли, которые более элегантны и управляемы. Обратитесь к поставщику ролей ASP.NET , чтобы узнать о встроенных функциональных возможностях для ускорения разработки. Тем не менее, некоторые люди находят этот встроенный подход обременительным и скручивают своего собственного простого провайдера и добавляют его в жизненный цикл страницы или главную страницу, чтобы разделить функциональность на всех страницах.