以前对这部分一直糊涂着，总算理理清楚了

包名：System.Security.Principal:
Identity:（识别）包装了已经验证过的用户名和认证的方式
 主要成员：Name, IsAuthenticated, AuthenticationType
Principal: 当前代码的security上下文。包含Identity和Roles. 用于授权
 主要成员：IsInRole, Identity

* // 一般用户可以有多个Indentity, 即多种身份来访问不同资源 --pending
* 每个AppDomain里面都有CallContext，CallContext里面包含Principal。线程在启动的时候也会带上Pricncipal的ref。静态方法，仅对当前线程
* Thread.CurrentPrincipal / WindowsIdentity.GetCurrent()静态方法返回当前用户。

Permission: 权限。不是用户需要权限，是执行它的代码需要权限。
     Demand()要求调用此代码的代码有什么权限。Assert()断言
三种权限：
  1 代码权限: 基类为CodeAccessPermission .用来保护环境变量、文件、访问非托管代码。总表参见：
       ms-help://MS.VSCC.2003/MS.MSDNQTR.2003APR.1033/cpguide/html/cpconcodeaccesspermissions.htm
  2 Identity权限：基类为CodeAccessPermission。对应于控制台中的信任集设定。基于发行者、强类型、域、URL。总表：
   ms-help://MS.VSCC.2003/MS.MSDNQTR.2003APR.1033/cpguide/html/cpconidentitypermissions.htm
  3. PrincipalPermission(Role Based Permission)

Authorization 授权 判断用户是否有权操作，比如登录的用户有没有权限访问资源或者数据库
Authentication 认证 用户的Identity. 主要有：HTTP基础认证、证书、Kerberos、Passport、NTLM、Forms-based、Digest

这两个东西最好从读音上区别，以前一直糊涂。一般应用先authenticate用户, 判断用户是否能链接到系统。然后authorization, 判断对某个功能是否有权限。

authorization一般有两种：ACL/ROLES
ACL:Acess Control Lists. 判断用户是否在有权限的用户组内。缺点：不能定义动态条件。
Role based: 用户加入到某个role以后，自动获得了很多特定的权限。先判断请求者的Identity, 然后看它是否在Role里面。类似windows用户和组的关系

1. 代码中的检查方式：new PrincipalPermission(name,role).Demand();
2. 利用Attribute的方式：[PrincipalPermissionAttribute(SecurityAction.Demand,Name="MyUser", Role="Administrator")]
3. 使用 Principal 对象中的属性和 IsInRole 方法执行显式安全性检查。
4. web.config里面authorization节中的users/roles(这个一般资料都没提到）

参考：
台湾MSDN Library 中文技術文件：PPT, 文章
台湾msdn里面有不少好东西，比china的强多了！

补充：
1. ASP.net中线程的Principal是根据HttpComtext.Current.User来的，但是从线程取更值得推荐（与asp.net无关）
2. AppDomain.CurrentDomain.SetPrincipalPolicy设定Thread.CurrentPrincipal的预设值
3. AppDomain.CurrentDomain.SetThreadPrincipal(Thread.CurrentPrincipal) 设定新线程的预设Principal, 只能调用一次