对于asp.net Forms验证，想必大家都非常的熟悉。然而，在控制用户的（过期时间）expired time的时候，你是否遇到过一些奇怪的现象呢？虽说只是一个小小的cookie，但是其中可能有很多的东西你都不知道。今天我将和大家详细讨论一下cookie的注意点。
　
　　在ASP.NET 的Forms验证中，通常我们会使用ASP.NET自带的Login控件来进行验证。同时，在web.config文件中，我们所有的Forms设置都设为默认。现在，问题就来了。
　
　　1） 为什么我明明点了"Remember me"，而大概半个小时后，我又Log out了？
　
　　2） 为什么我明明设置了timeout为无限期 e.g. 400000，为什么一两天之后我又Log out了呢？
　
　 　这是Forms验证中遇到的比较多的问题。下面，我就这两个问题做一个详细的解释：对于问题一，首先我要阐明ticket和cookie的区别。 cookie是一个容器，用来存放东西，它是保存在客户端的。而ticket是具体的数据，用来表示具体的验证信息，它是放在cookie这个容器中的。 因而，在我们验证的过程中，以下事情发生了。首先，ticket被创造了，里面包含着用户名等信息，同时它有一个过期时间。然后，cookie被创造了， 它同样也有一个过期时间。最后，将ticket保存在cookie中，并将此cookie发送到client的浏览器中。读到这里，我想问题已经很明白 了，用户的Log out就是因为时间过期的问题。但具体是谁的时间过期了呢？在我们ASP.NET web.config 的设置中，timeout是cookie的过期时间（注意，默认是30分钟），而ticket的过期时间是无限的，因为我们选了"Remember me".这就是为什么虽然我点了"Remember me"，但在30分钟左右后，我仍然被Log out了，因为我们并没有设置cookie的timeout.ticket和cookie，只要其中之一不是永远不过期，我们都无法实现永不过期。
　
　 　当我们解决了问题一后（假如手动设置timeout="4000000"），我们又遇到了问题二。这又是什么原因呢？这得从ticket的加密解密机制 说起。ASP.NET会使用一个machinekey来对cookie进行加密，这个machinekey默认是在application启动时随机生成 的。然后，ASP.NET会使用同一个machinekey进行cookie进行解密。正式因为这个key是application启动时随机生成的才导 致了问题二。试想，如果application recycle（重启）了怎么办？ASP.NET会生成另一个key进行解密，以前的cookie将不再有效，这就是问题二的原因了。知道了这个，解决第 二个问题的办法就很简单了，手动设置一个特定的key.

　　如：Code