Есть сайт. На нем могут регистрироваться юзеры. Ну и зарегистрировавшись могут что-то делать. Аутентификация через форму. И есть админка. Лежит в отдельной папке. В админку тоже аутентификация через форму. Если я правильн понимаю механизм, то любой зарегистрировавшися на сайте при таком расладе может попасть в админку. Не хочется. Вопрос: как лучше отфильтровать тех, у кого нет права на админку. Я думал при аутентификации что-нибуть писать в сессию, а при вызове любого .aspx из в админке - смотреть есть ли определенная переменная в сеансе и пущать или не пущать. Я не знаю на сколько взломоустойчиво данное решение, т.е. можно ли как то "подсмотреть" сессию? Вопрос №2:наверное существуют решения и по красивее???
Вертолет - это душа подбитого танка

Проблема в том, что пока что все крутится на 1.х. На 2 перетаскивать планирую, но позднее. Там есть чего переделать ))) Так что пока нужной обойтись "как нибудь так...". Собсвенно, я и пытаюсь ручками роль сделать, вопрос лишь в том, можно ли под сессию подрубиться как то... т.е насколько это будет надежно, если роль юзверя будет в сессии жить?
Вертолет - это душа подбитого танка

В админскую папку помести web.config с таким текстом:
<configuration>
<system.web>
<authorization>
<allow users="admin" />
<allow users="bestcro" />
<deny users="*" />
</authorization>
</system.web>
</configuration>


... Об этом я не подумал... спасибо
Вертолет - это душа подбитого танка

полезная статья, спасибо
Вертолет - это душа подбитого танка