对于ASP.NET Forms验证，想必大家都非常的熟悉。然而，在控制用户的（过期时间）expired time的时候，你是否遇到过一些奇怪的现象呢？虽说只是一个小小的cookie，但是其中可能有很多的东西你都不知道。今天我将和大家详细讨论一下cookie的注意点。

在ASP.NET Forms验证中，通常我们会使用ASP.NET自带的Login控件来进行验证。同时，在web.config文件中，我们所有的Forms设置都设为默认。现在，问题就来了。

1.为什么我明明点了"Remember me"，而大概半个小时后，我又Log out了？

2.为什么我明明设置了timeout为无限期 e.g. 400000，为什么一两天之后我又Log out了呢？

这是Forms验证中遇到的比较多的问题。下面，我就这两个问题做一个详细的解释：对于问题一，首先我要阐明ticket和cookie的区别。cookie是一个容器，用来存放东西，它是保存在客户端的。而ticket是具体的数据，用来表示具体的验证信息，它是放在cookie这个容器中的。因而，在我们验证的过程中，以下事情发生了。首先，ticket被创造了，里面包含着用户名等信息，同时它有一个过期时间。

然后，cookie被创造了，它同样也有一个过期时间。***，将ticket保存在cookie中，并将此cookie发送到client的浏览器中。读到这里，我想问题已经很明白了，用户的Log out就是因为时间过期的问题。但具体是谁的时间过期了呢？在我们ASP.NET web.config的设置中，timeout是cookie的过期时间（注意，默认是30分钟），而ticket的过期时间是无限的，因为我们选了"Remember me".这就是为什么虽然我点了"Remember me"。

但在30分钟左右后，我仍然被Log out了，因为我们并没有设置cookie的timeout.ticket和cookie，只要其中之一不是永远不过期，我们都无法实现永不过期。

当我们解决了问题一后（假如手动设置timeout="4000000"），我们又遇到了问题二。这又是什么原因呢？这得从ticket的加密解密机制说起。ASP.NET会使用一个machinekey来对cookie进行加密，这个machinekey默认是在application启动时随机生成的。然后，ASP.NET会使用同一个machinekey进行cookie进行解密。正式因为这个key是application启动时随机生成的才导致了问题二。试想，如果application recycle（重启）了怎么办？

ASP.NET会生成另一个key进行解密，以前的cookie将不再有效，这就是问题二的原因了。知道了这个，解决第二个问题的办法就很简单了，手动设置一个特定的key.如： P.S. 网上也有些随机生成key的站点，如：http://www.aspnetresources.com/tools/keycreator.aspx.看到这里，大家是不是对ASP.NET Forms验证cookie有新的了解呢 ：）

【编辑推荐】

1. ASP.NET中的数据源控件
2. 介绍ASP.NET的XML Web服务使用
3. ASP.NET应用程序的web.config文件
4. 概述ASP.NET XML Web服务
5. ASP.NET中实现HTTP请求