<machinekey decryptionkey=“autogenerate”…被IIS忽略。不会使上一个会话的cookie失效

(请参阅下面的问题了解更多上下文):

在什么情况下

<machineKey
      validationKey="AutoGenerate,IsolateApps"
      decryptionKey="AutoGenerate,IsolateApps"/>

在web.config中,是否无法自动生成新的machinekey-on-app池回收?这就是我看到的行为…

我正在MVC应用程序中使用标准的ASP.NET FormsAuthentication。如果我使用 FormsAuthentication.GetAuthCookie 并且不要使用持久cookie(依赖浏览器的会话来记住我的授权状态),我希望回收IIS应用程序池会使会话对该cookie的了解失效……从而注销所有没有持久cookie的用户。

这在我的一个IIS安装(xp)上发生,但在另一个IIS配置(服务器2K3)上,FormsAuthentication cookie(以标准名称“.aspxauth”)仍然有效,并继续授权用户。

是否有人知道发生这种情况的原因或是什么配置控制了这种行为?

显然,回收应用程序池无法控制浏览器是否仍发送.aspxauth cookie(只要我没有关闭浏览器,cookie还没有过期)。

如果IIS安装在回收后正确拒绝身份验证,我可以看到传入的cookie Request.Cookies 期间 Application_BeginRequest 事件…但一旦控件移动到global.asax.cs中的下一个可用事件 (Application_AuthenticateRequest ,cookie已从 请求饼干 收集 .

为什么这两种IIS/ASP.NET配置都没有发生?

如果这不清楚,形成问题的一个简单方法是:

为什么 HttpContext.Current.Request.Cookies[".ASPXAUTH"] 从变化 {System.Web.HttpCookie} 当我单步执行单个请求时,从 应用程序开始请求 到 Application_AuthenticateRequest ?

更多调试信息:

如果我将以下代码附加到global.asax.cs的FormsAuthentication ouOnAuthenticate事件…

var cookie = Request.Cookies[FormsAuthentication.FormsCookieName];
if (cookie != null)
{
    var val = cookie.Value;
    try
    {
        FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(val);
    }
    catch (Exception)
    {
    }
}

…然后在请求期间 之前 我回收IIS应用程序池,不会捕获任何异常。回收IIS应用程序池后,当从浏览器发送完全相同的.aspxauth cookie时,将捕获加密异常(“填充无效,无法删除。”)

为什么会这样?