ASP.NET regola l'accesso all'Url richiesto utilizzando un particolare HttpModule chiamato UrlAuthorizationModule, il quale ricava le regole applicate dalla sezione authorization del web.config.
È possibile impostare l'autorizzazione con il livello di granularità richiesto dalla nostra applicazione, utilizzando l'elemento location del web.config, prendendo ad esempio il seguente frammento:

L'accesso ai due file di testo è stato limitato, mappando correttamente le estensioni in IIS questi saranno serviti solo ai ruoli specificati.

Al fine di impedire letture o scritture accidentali attraverso le classi di IO, come System.IO.File, è possibile utilizzare il metodo statico CheckUrlAccessForPrincipal della classe UrlAuthorizationModule.

Il metodo accetta tre parametri, che sono il percorso relativo del file, un oggetto che implementi l'interfaccia IPrincipal, come ad esempio  l'oggetto restituito dalla proprietà User della classe Page, ed infine una stringa che rappresenta l'accesso in sola lettura (GET, POST, HEAD) o scrittura (tutti gli altri).