一旦我们知道了用户是谁,就可以确定他们是否有权限访问请求的资源。这一过程的实现方式很多,根据资源决定。在基于windows的系统中,大多数资源都有一个访问控制列表(ACL),其中列出了可以访问某一资源的用户。这种列表通常指定了每个用户所拥有的访问类型,即他们是否能够阅读它、写入它、修改它或者删除它等等。
例如,如果用户请求一个ASP页,操作系统将确认他对此页面是否具有read访问权限。如果有,将允许IIS读取该页。然而,IIS也带有授权设置,用来控制用户获取某一资源的权限。假设是一个ASP页面,如果IIS为该页设置了Script Execute(脚本执行)许可,那么用户就可以在该页执行脚本。