Как: ASP.NET, IIS 7, два сайта, один и тот же код, один формы, другой нет?

Есть ли способ, чтобы два разных сайта IIS указывали на один и тот же код, но разрешали аутентификацию форм только на одном из них?

Немного предыстории, чтобы сохранить дыхание: "Какого черта ты хочешь это сделать?!" вопросы типа... мы унаследовали веб-приложение с большой дырой в безопасности; javascript в браузере пользователя должен напрямую взаимодействовать со служебным уровнем, и на служебном уровне нет никакой защиты. К сожалению, веб-сайт и сервисный уровень связаны таким образом, что их невозможно разделить без переписывания приложения. У нас просто нет времени, чтобы выполнить рефакторинг кода в обязательном порядке (поверьте, мы боролись за это)

Однако часть веб-сайта, обращенная к пользователю, использует проверку подлинности форм, поэтому наше решение заключается в том, чтобы разделить заявку на проверку подлинности форм между веб-сайтом и уровнем обслуживания, поскольку службы находятся в виртуальном каталоге и, следовательно, находятся в одном домене. Это работает, но проблема в том, что теперь нам нужны две копии приложения, одна с включенной аутентификацией форм, а другая без нее, что немного затрудняет разработку, поскольку мы должны постоянно обновлять код в обоих местах.