Estou desenvolvendo um .NET para aplicativos da Web ASP.NET e tentando negar a todos os usuários não autorizados que acessem meu aplicativo, mas permitindo apenas a página de logon.

Abaixo está um trecho do código que está dentro da seção system.web:

<authentication mode="Forms">
   <forms loginUrl="Login.aspx" timeout="60" name="APPNAME" slidingExpiration="true" />
</authentication>
<authorization>
   <deny users="?" />
</authorization>

Eu também tenho isso fora para permitir o acesso à página de login:

  <location path="Login.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

No entanto, ainda consigo acessar as páginas quando não estou logado, como impedir que isso aconteça?

Eu até adicionei um arquivo Web.Config à pasta Principal, que armazena a maioria dos arquivos do site cujo conteúdo é:

<?xml version="1.0"?>
<configuration>
    <appSettings/>
    <connectionStrings/>
    <system.web>
        <authorization>
            <deny users="?" />
        </authorization>
    </system.web>
</configuration>

Mas isso ainda não está surtindo efeito.

Solução

Eu segui algumas dicas de otimização para o asp.net (http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx) e removeu o httpModule AnonymousIdentification que eu realmente precisava.