我们要授权用户，如果他们被授权，我们要向用户添加其角色和权限，并将其添加到IPrinciple中。

我们有两种方法可以做到这一点，一种是在global.asax Application_AuthenticateRequest中完成，另一种是创建一个从AuthorizeAttribute继承的属性

这里有什么闪闪发光的好选择吗？

在ASP.NET MVC中，您应该首选自定义授权属性。另一方面，如果您希望此代码可在经典的ASP.NET应用程序中重用，则可以使用Application_AuthenticateRequest或编写自定义HttpModule并使用AuthenticateRequest事件。