在验证cookie的有效期问题上是非常有趣的,如果未规定在web.config中的<forms>元素的timeout属性的值,则cookie仅在用户机器上保留30分钟(这是在machine.config中得默认设置),或者保留到他们关闭浏览器为止。但是,额可以在<forms>元素中设置timeout属性覆盖此设置。这表示他们可以离开站点并在30分钟内返回,只要未关闭浏览器(或删除cookie)即可。当然,因为用户在站点内访问页,所以cookie会随着服务器的每次响应而不断更新,因此超时知识在最后一次访问页之后,在规定的时间内生效。但是,即使浏览器仍在运行,他们仍然必须在超时到期时离线,这较好的保证了安全性。
我们也可以选择在会话之间保持cookie。当我们调用RedirectFromLoginPage方法时,可以为第二个参数规定Boolean值。给方法传输值true会导致此方法创建带有较长期限的cookie(从现在起可达50年),因此用户就不会在返回时回到此站点。大多数现代浏览器为每个用户存储cookies(假设建立客户机,强制用户登录,这就存在安全隐患),并不难于截获cookie,这样截获者就可以在该cookie的生存期自动获准访问站点。对于安全性要求不高或仅用于个性化的情况下,这种方法很有用。