A autorização web.config nega não autorizado
Estou desenvolvendo um .NET para aplicativos da Web ASP.NET e tentando negar a todos os usuários não autorizados que acessem meu aplicativo, mas permitindo apenas a página de logon.
Abaixo está um trecho do código que está dentro da seção system.web:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" timeout="60" name="APPNAME" slidingExpiration="true" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
Eu também tenho isso fora para permitir o acesso à página de login:
<location path="Login.aspx">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
No entanto, ainda consigo acessar as páginas quando não estou logado, como impedir que isso aconteça?
Eu até adicionei um arquivo Web.Config à pasta Principal, que armazena a maioria dos arquivos do site cujo conteúdo é:
<?xml version="1.0"?>
<configuration>
<appSettings/>
<connectionStrings/>
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
</configuration>
Mas isso ainda não está surtindo efeito.
Solução
Eu segui algumas dicas de otimização para o asp.net (http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx) e removeu o httpModule AnonymousIdentification que eu realmente precisava.