為什麼我的 APS.Net Form Authentication 在 timeout 時間還沒到前就失效了

狀況

明明設定就是 20 分鐘，為什麼才過了 10 幾分鐘，我就被強制登出了？

找問題的過程

一開始利用 Chrome DevTools 嘗試找出問題，但只看到 302 Redirect，不懂為什麼？

之後另外裝 Fiddler 來監控所有 Web 流量（其實用 DevTools 也是可以找問題，只是 Fiddler 的功能更強大），發現關鍵應該是在 .ASPXAUTH 的 Cookie 票證失效造成的，但明明還沒有到 20 分鐘，為什麼就失效了？

原因

ASP.Net Form Authentication 的機制是靠在瀏覽器端寫入一個加密的 Cookie (還有一種是靠 URL 傳參數的方式，但比較少用)，當中會有使用者帳號，票證失效時間，其他應用系統想存的資訊等等。

票證失效時間是寫在該 Cookie 中，在票證產生時就決定了，例如 timeout 為 20 分鐘的話，票證是 1:00 產生的，我們就會設定該票證在 1:20 失效。

但是這樣一來，如果使用者使用系統超過 20 分鐘的時間，那他不就會被自動登出了嗎？還好 ASP.Net 有考慮到這件事情，他有一個 FormsAuthentication.SlidingExpiration 的設定，而且預設是 True，只要使用者有持續使用系統，他就會自動重新設定票證的失效時間。

但是為了避免不斷重新設定票證會影響效能，所以 SlidingExpiration 的行為是當票證已經超過原本的失效時間一半時才會重新設定票證，也就是說只有在 1:10 後使用者還有對 Server 送出要求才會重新取得新的票證。

這邊的設計就會產生我們所遇到的，為什麼我明明沒有超過 20 分鐘沒有使用系統，卻被要求重新登入。原因就在於 SlidingExpiration 重新取得票證的行為。如果我最後使用系統是在 1:09 的時候，這樣當我在 1:21 回來使用系統，雖然感覺上我只有 12 分鐘沒有使用系統，但因為我的票證失效時間還是 1:20 所以我就被要求重新登入。

但反過來說如果你最後使用系統的時間是 1:11, 由於已經超過了 1:10 所以你的票證會重取，新票證的失效時間就不會是 1:20 了，所以 1:21 回來使用系統，就不會被重新要求登入了。

所以雖然只差短短的一瞬間，但結果卻是完全不同喔！

結論

雖然 Form Authentication 的失效時間設定為 20 分鐘，並不表示一定要超過 20 分鐘沒有使用系統才會被要求重新登入，可能只要超過 10-20 分鐘都有可能會被要求重新登入，取決於你最後一次拿到得票證到期時間為何？

另外提一下的是，網路上的記住我的登入，一般也會利用一樣的方式來處理。