Hola estoy implementando una aplicacion basada en roles pero no utilizo las cookies por si el usuario las bloquea. Me gustaria saber si se puede utilizar tambien la parte de:

<authorization>
<allow users="*" /> <!-- Permitir a todos los usuarios -->
<!-- <allow users="[lista de usuarios separados por comas]"
roles="[lista de funciones separadas por comas]"/>
<deny users="[lista de usuarios separados por comas]"
roles="[ lista de funciones separadas por comas]"/>
-->
</authorization>

para asignar roles a usuarios o a grupos utilizando variables de session y asignando los roles con base de datos.

gracias.