Hallo Christian,

Also, mit ASP kenn ich mich nicht aus. Aber ich hab da so einige Gedanken dazu, die ich Dir mitteilen will.

1.) ein redirekt ist ja nichtgerade die sicherste Sache, weil wenn das Dokument eine URL besitzt, könnte dieses Dokument direkt aufgerufen werden, ohne zuerst die Sicherheitsüberprüfung passieren zu müssen.
Wenn ich sowas mache, dann stelle ich die geschützen Dokumente gleich in ein VErzeichnis, das über den Webserver direkt nicht angesprochen werden kann.
in Perl würde das irgendwie so aussehen:

[...]
if($Username_Is_Valid)
   {
   open(IN,"$pfad_irgendwohin_auf_der_Maschine/$name_des_Dokuemtes") or  &anzeigeFehler("Dokument nix da");
   print "Content-Type: $mimetype_des_dokumentes\n\n";
   print while <IN>; #dokument ausgeben
   close(IN);
   }
else
  {
  &anzeigeFehler("Oba du fui fix sicha net!");
  }

sub anzeigeFehler
{
my($Fehlermeldung) = shift;
print "Content-Type: text/html\n\n";

hier ist halt die Ausgabe des HTML-Gesocks

printHTMLHeader();
print "$Fehlermeldung<BR>";
printHTMLFooter();
exit;
}

Ich weiß nicht, ob sowas in ASP geht.
Wichtig ist sicherlich die Möglichkeit, erst nachdem erkannt wurde, daß der User gültig ist, den MIME-Type mittels 'Content-Type' des Dokumentes festzulegen.
Sonst schickst Du eventuell ein PDF und der Browser meint, das müßte HTML sein und kommt irgendwie aus dem Tritt.

Und weil sowas in Perl urleicht ist, liebe ich es.

Grüße
Klaus