Eu estou tentando implementar um mecanismo de autenticação de formulários Asp.net muito básico para um site MVC. O problema que estou tendo é que meu cookie de autenticação está sendo configurado para expirar após um ano, enquanto eu não quero que ele expire depois de tanto tempo. Aqui está um pouco do meu código:

web.config

<authentication mode="Forms">
  <forms loginUrl="~/Account/Login" timeout="2" />
</authentication>

controlador

...
FormsAuthentication.SetAuthCookie(username, false);
...

Eu encontrei issoresponda (esta questão é semelhante, mas no meu caso o tempo limite nunca ocorre), mas esta é a única maneira de fazer o cookie expirar ou estou fazendo algo errado aqui?

Quando vejo o cookie, ele está configurado para expirar após um ano, embora deva expirar após alguns minutos, por quê?

O que eu quero é de alguma forma, o usuário fica desconectado depois de algum tempo e eu pensei que a definição de expiração emforms tag faria o trabalho?