在 ASP.NET MVC 应用程序中，FormsAuthentication 经常用于身份验证和授权。它可帮助我们轻松地验证用户并保护应用程序。然而，有时 FormsAuthentication 的滑动过期行为会导致安全问题。

具体而言，FormsAuthentication 默认情况下会在用户最后访问应用程序的时间后的一段特定时间内自动延长身份验证票证的过期时间。这可以防止用户在使用应用程序时突然因验证过期而被强制注销。但是，由于这种滑动过期行为可能会导致安全问题，因此建议将其禁用。

要禁用 FormsAuthentication 的滑动过期行为，我们可以在 Web.config 文件中将以下设置添加到 authentication 节点：

这将禁用 FormsAuthentication 的滑动过期行为并强制让身份验证票证在过期后立即注销。我们还可以在代码中动态设置此设置，如下所示：

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
    1, // Version
    user.UserName, // User name
    DateTime.Now, // Issue time
    DateTime.Now.AddMinutes(30), // Expiration time
    false, // Persistent
    user.Roles // User data (roles, etc.)
    );

string encryptedTicket = FormsAuthentication.Encrypt(ticket);

var authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

// Disable sliding expiration.
authCookie.SlidingExpiration = false;

Response.Cookies.Add(authCookie);

在上面的代码中，我们将 FormsAuthenticationTicket 的 slidingExpiration 参数设置为 false，并将 authCookie.SlidingExpiration 设置为 false。

∠