Megmondom, mit csinál a Forms Authentication, amit nagyon sokan használnak. Csinál egy ticketet, amiben benne van a júzer neve, a ticket lejárati ideje, meg egyéb tetszőleges adatok, pl. csoporttagságok. Ezt szerializálja, egy kulccsal titkosítja, és ezt adja ki a kliensnek pl. cookie-ban. Pár száz bájtra kell gondolni, ember nem jegyzi meg, de cookie-ban és URL-ben is bőven elfér. Amikor visszajön a kliens, be tudjuk olvasni, hogy ki ő, és érvényes-e még a ticket. Amíg a kulcs biztonságban van, és kellőképpen nagy, addig egy kliens nem képes ticketet módosítani/előállítani, sőt, elolvasni sem tudja a tartalmát. Ha más nem lopja el a ticketet, akkor feltörhetetlen a rendszer, ha ellopja, akkor is csak a másik júzert lehet megszemélyesíteni adott ideig. Olyan is lehetséges, hogy a lejárat közelében automatikusan meghosszabbított ticketet küldünk ki, de e most mellékes. Nagy előnye, hogy szerver szempontjából állapotmentes, legalábbis amíg nem változik meg a kulcs.