Советую почитать про жизненный цикл запроса:
frontend - request - iis - аутентификация - авторизация - создание контроллера - вызов метода контроллера - запись ответа в response - отдача ответа.
Какие компоненты при этом вызываются (ControllerFactory, VirtualPathProvider и т.д.)
Как можно организовать аутентификацию/авторизацию.
Если требуется почитать про ORM (Entity Framework, Fluent NHibernate) - упростит работу с БД для начала.