Estoy creando un sitio web ASP.NET que usaFormsAuthentication y un mecanismo de sesión estándar con configuración como:

<authentication mode="Forms">
    <forms cookieless="UseCookies" name=".MyAppAuth" loginUrl="~\Login.aspx" timeout="20"/>
</authentication>
...
<sessionState timeout="20" cookieless="UseCookies" />

Parece que la duración de una cookie de autenticación no es igual a la duración de la sesión del usuario. Entonces, ASP.NET no garantiza que

Session finaliza cuando el usuario cierra sesión,

Session no termina antes de que el usuario cierre sesión.

Hay una manera de personalizarFormsAuthentication or \ y el mecanismo de Estado de sesión para alcanzar estos objetivos?