Como o Tag de autorização determina se o usuário está autorizado ou não?

Por exemplo, se um usuário fizer login e tentar acessar uma exibição que tenha uma tag Authorize. Como isso determina se um usuário está autorizado ou não? Faz uma consulta ao banco de dados e verifica?

E se eles forem para uma exibição com uma autorização de função? Consulta a tabela da função de associação?

Eu só estou querendo saber desde que eu tenho o que as tabelas de associação do asp.net considera userNames duplicados. Eu uso um sério de campos para determinar qual usuário é o que, permitindo que os usuários tenham o mesmo userName duplicado, mas ainda assim seja único no meu banco de dados.

Isso fez com que eu precisasse escrever métodos customizados para muitos itens de associação .NET, já que todos usavam "userName" para fazer uma busca ao invés de usar o UserId.

Então, agora estou me perguntando se esse poderia ser o caso da tag Authorize. Desde que eu não tenho idéia de como funciona e como se eu não estivesse usando a associação do .net eu não teria a menor idéia de como seria determiná-lo.