我正在使用ASP.NET窗体身份验证方法，并在machinekey标记中使用特定的加密和解密密钥，并将slidingexpiration设置为true和20分钟超时。现在我有一个问题：如果有人偷了我的饼干，他/她能在任何地方用我的帐户登录吗？(因为加密总是恒定的)如果答案是否定的，那么每个请求中的cookie值是如何变化的？

谢谢

编辑：如果每个请求中的cookie都发生了变化，那么加密密钥存储在哪里？应用程序如何知道解密数据的密钥？

饼干握着表格认证票。通过滑动认证，在票据中存储的日期可以随服务器检查的任何请求而更新。这就是为什么你会看到饼干价值的改变。

饼干(或车票)对他们来说是易碎的，而且肯定可以用来隐藏一次会议。See this Microsoft article for more information.