este é o código atual no ASP.NET MVC2 (RTM)System.Web.Mvc.AuthorizeAttribute classe :-

public virtual void OnAuthorization(AuthorizationContext filterContext)
{
    if (filterContext == null)
    {
        throw new ArgumentNullException("filterContext");
    }
    if (this.AuthorizeCore(filterContext.HttpContext))
    {
        HttpCachePolicyBase cache = filterContext.HttpContext.Response.Cache;
        cache.SetProxyMaxAge(new TimeSpan(0L));
        cache.AddValidationCallback(
            new HttpCacheValidateHandler(this.CacheValidateHandler), null);
    }
    else
    {
        filterContext.Result = new HttpUnauthorizedResult();
    }
}

por isso, se eu sou 'autorizado', faça algumas coisas de armazenamento em cache, caso contrário, lance uma resposta 401 Não autorizada.

Pergunta, questão:O que essas três linhas de cache fazem?

Felicidades :)