Сохраняю ID залогиневшегося посетителя и его RoleID так:
FormsAuthentication.SetAuthCookie(UserID & "." & UserRoleID, False)
тем самым отказываясь от использования Session на сайте.
Одна из причин - нужно получать RoleID из Auth_Page() в global.asax, а там HttpContext...Session не доступен

но вот задумался, насколько это безопасно?
передается ли эта информация в cookie AspxAuth на клиент?
если да то теоретически ее можно подменить, и зайти на сайт в обход формы логина...я правильно понимаю?

в global.asax в Auth_Page() у меня встроена своя проверка доступности пользователя к запрашиваемой странице на основе роли
если RoleID поместить в Session то она будет не доступна в global.asax : Auth_Page, т.к. если оттуда обращаться к Session вылетает ошибка "Session state is not available in this context"
посему UserID и Role ID я помещаю в HttpContext.Current.User.Identity.Name путем FormsAuthentication.SetAuthCookie(UserID & "." & UserRoleID, False), и извлекаю их оттуда когда нужно.

но возник вопрос, не сохраняется ли HttpContext.Current.User.Identity.Name в кукисах в AspxAuth , если, да то это небезопасно, т.к. теоретически его можно подделать

ASP.Net