ASP.NET2.0 验证cookie详解

对于ASP.NET Forms验证，想必大家都非常的熟悉。然而，在控制用户的(过期时间)expired time的时候，你是否遇到过一些奇怪的现象呢？虽说只是一个小小的cookie，但是其中可能有很多的东西你都不知道。今天我将和大家详细讨论一下cookie的注意点。

在ASP.NET 的Forms验证中，通常我们会使用ASP.NET自带的Login控件来进行验证。同时，在web.config文件中，我们所有的Forms设置都设为默认。现在，问题就来了。

1) 为什么我明明点了"Remember me"，而大概半个小时后，我又Log out了？

2) 为什么我明明设置了timeout为无限期 e.g. 400000，为什么一两天之后我又Log out了呢？



这是Forms验证中遇到的比较多的问题。下面，我就这两个问题做一个详细的解释：

对于问题一，首先我要阐明ticket和cookie的区别。cookie是一个容器，用来存放东西，它是保存在客户端的。而ticket是具体的数据，用来表示具体的验证信息，它是放在cookie这个容器中的。因而，在我们验证的过程中，以下事情发生了。首先，ticket被创造了，里面包含着用户名等信息，同时它有一个过期时间。然后，cookie被创造了，它同样也有一个过期时间。最后，将ticket保存在cookie中，并将此cookie发送到client的浏览器中。读到这里，我想问题已经很明白了，用户的Log out就是因为时间过期的问题。但具体是谁的时间过期了呢？在我们ASP.NET web.config的设置中，timeout是cookie的过期时间(注意，默认是30分钟)，而ticket的过期时间是无限的，因为我们选了"Remember me"。这就是为什么虽然我点了"Remember me"，但在30分钟左右后，我仍然被Log out了，因为我们并没有设置cookie的timeout。ticket和cookie，只要其中之一不是永远不过期，我们都无法实现永不过期。

当我们解决了问题一后(假如手动设置timeout="4000000")，我们又遇到了问题二。这又是什么原因呢？这得从ticket的加密解密机制说起。ASP.NET会使用一个machinekey来对cookie进行加密，这个machinekey默认是在application启动时随机生成的。然后，ASP.NET会使用同一个machinekey进行cookie进行解密。正式因为这个key是application启动时随机生成的才导致了问题二。试想，如果application recycle(重启)了怎么办？ASP.NET会生成另一个key进行解密，以前的cookie将不再有效，这就是问题二的原因了。知道了这个，解决第二个问题的办法就很简单了，手动设置一个特定的key。如：

<machineKey validationKey="88CB6CA6CF403C5FBB41C2F62BB7FCFCA05DE7BE" decryptionKey="B8A7CF3816C57176" validation="SHA1" />

P.S. 网上也有些随机生成key的站点，如：http://www.aspnetresources.com/tools/keycreator.aspx.

看到这里，大家是不是对Forms验证cookie有新的了解呢

转自：http://www.cnblogs.com/David-Qian/archive/2009/01/20/1378949.html