I web.config kan man autentisera användare genom att göra

<authentication mode="Forms">
<forms loginUrl="login.aspx" protection="All" timeout="30">
<credentials passwordFormat="Clear">
<user name="devhood" password="password"/>
<user name="someguy" password="password"/>
</credentials>
</forms>
</authentication>

(Koden här tagen från http://www.devhood.com/tutorials/tutorial_details.aspx?tutorial_id=85)

När användarens cockie har gått ut, skickas han automatiskt till inloggningssidan. Där måste han skriva in användarnamn och lösenord och sedan skickas han tillbaka till sidan där han befann sig tidigare.

Verkar mycket användbart, men om man har många användare går det inte att sitta och hårdkoda in dem i web.config. Hur gör man då, om man t ex vill ta användarna från en databas?

Du skippar dessa credentials och istället säger vilka filer eller vilka kataloger där användaren inte får vara anonym på - och således kräver inloggning. Titta i stället på authorization: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpguide/html/cpconaspnetauthorization.asp