Sappiamo tutti che la FormsAuthentication di ASP.NET crea un cookie nel client dell'utente. Sappiamo anche che se decidiamo di utilizzare il Login control con l'opzione "Ricordati di me" attiva, questo cookie diventa persistente. Ma questo cookie ... per quanto tempo resta nel client dell'utente ?

In ASP.NET 1.x il cookie, a meno di settaggi manuali via codice, aveva come cliclo di vita 50 anni. Capite bene che lasciare un cookie li per 50 anni non era il massimo della sicurezza.

In ASP.NET 2.0, invece, un cookie persistente ha di default un ciclo di vita di 30 minuti.

Diventa quindi compito dello sviluppatore, decidere quanto far durare la vita di quel cookie.
Come ? Attraverso la proprietà Timeout dell'elemento di configurazione proprio della FormsAuthentication.

<authentication mode="Forms">

<forms name=".ASPXAUTH" loginUrl="pluyIn.aspx" timeout="3600" />
</authentication>

Se questo valore di timeout del cookie di autenticazione non viene cambiato, anche se l'opzione "Ricordati di me" del controllo Login è selezionata, l'utente resterà autenticato al sito solo per 30 minuti.