Я использую собственную идентификацию - база данных с именами, паролями, уровнем доступа. После проверки - эти все праметры сохраняю в session. Использую по мере необходимости (кстати этот подход является по мнению многих экспертов самым эффективным). Правда если Вы не очень с базами данных, то...

To: Axeleron

Трудный вопрос. Обычно задаю вопрос об имени и пароле. Если они имеются в базе данных, то запоминаю в сессии ID и уровень доступа пользователя. Далее в свойствах формы On_load проверяю - достаточен ли уровень для данной страницы и если нет то заварачиваю назад. В ASP.NET таких страниц в проекте получается немного, благодаря тому, что контекст можно прятать - соответсвенно затраты на разработку минимальны.

Конечно можно использовать и прием (из classic ASP, но MS не рекомендует это делать, хотя я видел примеры у самого MS), когда на каждую страницу в начале загружаешь встраиваемый файл где и происходит эта проверка... Ну а по современному - пишете класс и там провереяете то что надо, а на каждой форме наследуете on_load. Таким образом затраты снова минимальны.

Я еще записываю этот ID и время в каждое внесенное клиентом изменение... Говорят что по соображениям безопасности... В некоторых фирмах еще требуют сохранять IP, особенно связанных с электронной коммерцией...

Есть еще одно преимущество - пользователи после регистрации в Вашей системе могут получать доступ к некоторым закрытым ресурсам - при этом никто не отвлекается от важных дел (обычно признаком является проверенная кредитная карточка :) Но тут нужен договор с Банком или платежной системой).

В принципе, все солидные системы построены на таком принципе, а все эти идентификации - Windows и т.д. сделаны на мой взгляд для развития нашей эрудиции и сокращению затрат по безопасности во внутренних сетях.

Когда сессия умирает, умирают и права у клиента. Система очень надежна, так-как Вы конролируете эту ситуацию и Вы независимы от администраторов сетей, доменов и т.д. То есть заводить пользователей может Web администратор - Ваш человек :)