Попередні розділи демонструють аутентификацию за допомогою списку користувачів з файлу Web.config — метод Authenticate класу FormsAuthentication читає цей файл за замовчуванням. Це годиться, коли імена і паролі користувачів створюються і обслуговуються системним адміністратором, але якщо користувачам дозволено самим вибирати собі імена і паролі, краще зберігати цю інформацію в іншому місці. Справа в тому, що після модифікації Web.config необхідно перезапустити Web-додаток, що приведе до скидання змінних стани Application і Session, які використовуються додатком. Імена і паролі користувачів можна зберігати в будь-яких файлах, але БД дає ряд істотних переваг:
· ім'я користувача можна застосовувати як первинний ключ для зберігання інших відомостей про користувача;
· БД забезпечує високу швидкодію при витягу користувальницьких імен і паролів;
· SQL дозволяє стандартизувати додавання, модифікацію і витяг записів.
Імена і паролі користувачів можна зберігати у файлі або в БД у зашифрованому виді, для шифрування використовується метод HashPasswordForStoringlnConflgFile класу FormsAuthentication, що застосовує алгоритми SHA1 або MD5:
Password = FormsAuthentication.HashPasswordForStoringInConfigFile
(Password, "SHA1");