你的思路完全正确，这正是ASP.NET Web Pages中_PageStart文件的核心用途之一——在目标页面执行前统一做权限校验或前置逻辑，不符合条件时直接拦截并返回提示，而不让目标页面的代码运行。

核心原理 #

_PageStart默认会自动调用RunPage()来执行请求的目标页面，但如果你手动控制这个调用，在不符合条件时不执行RunPage()，转而渲染错误页，目标页面的任何服务器端代码和HTML都不会被运行，完美实现你的需求。

你的代码分析与优化 #

你给出的代码已经实现了核心功能，但可以补充一些细节让逻辑更健壮：

@Code
    ' 先判断用户是否已认证，避免未登录时调用Roles方法抛出异常
    If Request.IsAuthenticated Then
        If Roles.IsUserInRole("admin") Or Roles.IsUserInRole("users") Then
            ' 角色符合，允许目标页面正常运行
            RunPage()
        Else
            ' 角色不符，设置401状态码并渲染错误页，不执行目标页面
            Response.StatusCode = 401
            Response.StatusDescription = "Unauthorized"
            @RenderPage("~/wtools/_inlineError.vbhtml", "401 - 权限不足，您无访问此页面的权限")
        End If
    Else
        ' 用户未登录，可选择渲染错误页或跳转登录页
        Response.StatusCode = 401
        @RenderPage("~/wtools/_inlineError.vbhtml", "401 - 请先登录")
        ' 若要跳转登录页，替换上面的RenderPage为：
        ' Response.Redirect("~/Account/Login?ReturnUrl=" & Server.UrlEncode(Request.Url.PathAndQuery))
    End If
End Code

关键注意事项 #

• 必须省略RunPage()：这是阻止目标页面运行的核心，只要不调用这个方法，目标页面的所有代码都不会被执行。
• 设置正确的HTTP状态码：返回401（未授权）而非仅仅显示提示，能让浏览器和客户端识别这是权限问题，更符合HTTP规范。
• 处理未认证场景：先检查Request.IsAuthenticated，避免未登录用户触发Roles.IsUserInRole的异常。

这样修改后，你的权限拦截逻辑会更严谨，同时完全达到“不符合角色时显示提示而非运行目标页面”的需求。

内容的提问来源于stack exchange，提问作者PurTahan