Классическая схема Authorization\Authentication ASP.NET + декларативный подход отметки контролллеров/экшенов атрибутом AuthorizeAttribute.
Основное отличие от классичесого ASP.NET в том, что там сравнивается весь URL, а в MVC сравниваются контроллеры/экшены, т.е. можно для каждого экшена задать свой уровень доступа. Например, одна группа пользователей сможет только смотреть контент, а другая его править.
Вот, например, статья
Understanding Authentication and Authorization