Mám stránky v ASP, na které se musí uživatel autorizovat a jeho účet je ověřen v Active Directory a také je ověřeno členství ve skupině.
Jméno a heslo se ukládá na hlavní stránce do session a na druhé stránce se načte a použije se pro autorizaci, která se v tuto chvíli provádí na každé stránce znovu.
Když se autorizace nezdaří, tak je uživatel přesměrován na přihlašovací stránku.

Toto funguje, jenomže se mi autorizace na každé stránce zdá jako zbytečnost a je snadnější zkontrolovat jen existenci session. Otázka je, jestli je toto řešení bezpečné - jestli se např. na serveru nedá session vytvořit nějakým jiným způsobem.