如果在这段时间内没有请求您的应用程序，应用程序空闲超时将会启动。

因此，通常的情况是：

Time  | User A       | User B       | Session States
------+--------------+--------------+-------------------------------------------
12:00 | Visits Page1 |              | A: New Session,Time-out: 20 minutes
12:02 | Visits Page2 |              | A: Time-out reset: 20 minutes
12:10 |              | Visits Page1 | A: Time-out: 12 min; B: New: 20 minutes
12:15 |              | Visits Page2 | A: Time-out: 07 min; B: Time-out: 20 min
12:22 |              |              | A: times out; B: 13 min remaining
12:32 |              |              | Application Shuts Down (Idle time reached)
12:35 | Visits Page3 |              | A: New Session Starts

如果用户A在12:22之后返回该站点，那么他们将有一个全新的会话，您之前存储的任何值都将丢失。

确保会话持续通过应用程序重新启动的唯一方法是配置SessionState服务或SQL会话状态，并确保您具有configured the machine.key，这样每次服务器重新启动时都不会自动生成。

如果您使用标准ASP.NET机制进行身份验证，则ASP.NET将向每个用户发出两个Cookie：

>认证令牌：由Authentication time-out设置控制，如果cookie尚未过期，则允许用户自动登录到您的站点，这可以修复或滑动，默认为30分钟，这意味着他们的认证令牌可以应对比他们的会话更长的“闲置”期间。
>会话令牌：由会话超时设置控制，允许您的应用程序在访问期间存储和访问每个用户的值。

这两个Cookie都使用MachineKey进行加密，因此如果您的应用程序回收并生成新密钥，那么这些令牌都不能被解密，要求用户登录并创建一个新的会话。

回应评论：

> 20分钟的会话超时与您使用Session.Add(string，object)方法放置在用户会话对象(HttpSessionState)中的项目相关。
>这取决于如果你正确地使用了configured the machine.key，认证令牌仍然是有效的，如果你的会话不再是“InProc”，这些也将通过应用程序重新启动而持续下去，并且仍然是可读的 – 参见上面的注释。