如何设置web.config文件，让没有验证身份的用户不能下载该文件夹的文件？
<?xml   version= "1.0 "   encoding= "utf-8 "   ?>
<configuration>
       
    <system.web>

        <authorization>
                <allow   roles= "管理员,普通用户 "   />   <!--   允许所有用户   -->
                <deny     roles= "其它 "   />
                  <deny     users= "? "     />    
   
                        <!--     <allow           users= "[逗号分隔的用户列表] "
                                                          roles= "[逗号分隔的角色列表] "/>
                                    <deny             users= "[逗号分隔的用户列表] "
                                                          roles= "[逗号分隔的角色列表] "/>
                        -->
        </authorization>

     
  </system.web>

</configuration>
----------------------------------------------------

上边是我的web.config   所在的文件夹设置。     在运行过程中我执行该文件夹里的ASPX文件的话，   都需要验证身份，   但是当我http://localhost/该文件夹/文件名(非ASPX）文件时，   IE都能提示下载或打开文件。


我想得到的结果是，   该文件夹无论是访问ASPX文件还是要下载文件夹里边的文件都需要身份验证，   请问我的WEB。CONFIG   如何设置呢？

------解决方案--------------------
<!--系统管理权限设置-->
<!--location path= "SysAdmin ">
<system.web>
<authorization>
<allow roles= "Administrators,StoreManager "/>
<deny users= "* " />
</authorization>
</system.web>
</location-->
<!-- set secure paths -->
<location path= "CheckOut.aspx ">
<system.web>
<authorization>
<deny users= "? " />
</authorization>
</system.web>
</location>

SysAdmin是整个目录，只有Administrators,StoreManager角色可以访问，CheckOut.aspx是个文件，只有登录验证的用户可以访问！
你参考这个，就可以了！
------解决方案--------------------
http://community.csdn.net/Expert/topic/5281/5281829.xml?temp=.1146662
------解决方案--------------------
设置iis，增加影射。把你网站里出现的文件的后缀名都由 aspnet_isapi.dll来处理。