在 ASP.NET 应用程序上工作我已经使用自定义 HttpModule 实现了页面级访问控制，这个 HttpModule 拦截每个传入的请求，并检查连接的用户是否可以访问请求的页面，如果不能，则将他重定向到错误页面。

只要标准库中没有任何东西可以用于您想要的东西，这应该没问题，前提是您已经充分测试了您的模块。如果不访问服务器本身来修改 web.config 文件，您就无法绕过 HttpModule，如果攻击者已经这样做了，那么您就不用担心了!

如果标准库中有一些可以使用的东西，你应该更喜欢这个，因为它不可避免地会被其他人广泛测试!

我建议为您的模块编写一套体面的单元测试，因为它将构成您的应用程序的主要防线!