web.config中验证的<deny users = "?"/>和<allow users= "*" />有先后顺序只说

运行时，授权模块从最本地的配置文件开始，循环访问 allow 和 deny 元素，直到它找到适合特定用户帐户的第一个访问规则。然后，该授权模块根据找到的第一个访问规则是 allow还是 deny规则来允许或拒绝对URL资源的访问。默认的授权规则为<allow users= "* "/> 。因此，默认情况下允许访问，除非另外配置。 所以应该把适用用户群最小的放在最前面