嗨，这个场景我之前帮不少朋友解决过！既然两个应用都在同一个域名下，核心思路就是让它们的Forms身份验证配置完全对齐，确保Cookie的生成、加密解密逻辑一致。具体可以按下面几个步骤来做：

1. 统一Web.config里的Forms Authentication配置 #

两个应用的web.config文件中，<system.web>节点下的<authentication>配置必须完全相同，这样它们才能识别同一个身份验证Cookie。

在MVC5和WebForms应用的web.config中都添加/修改这段配置：

<authentication mode="Forms">
  <forms 
    name=".ASPXAUTH" <!-- 两个应用必须使用相同的Cookie名称 -->
    loginUrl="/MvcApp/Account/Login" <!-- 可改为统一的登录入口，按需调整 -->
    timeout="30" <!-- 和你代码中设置的30分钟超时保持一致 -->
    path="/" <!-- 关键！设为根路径，让Cookie对所有子路径应用可见 -->
    domain="example.com" <!-- 明确指定主域名，避免浏览器域名限制 -->
    slidingExpiration="true" <!-- 和你代码中的ticket参数保持一致 -->
    protection="All" <!-- 默认加密验证方式，两个应用要统一 -->
  />
</authentication>

重点说明：path="/"是核心，如果你不设置，默认会是每个应用的子路径（比如/MvcApp/），这样WebForms应用就读取不到MVC生成的Cookie了。

2. 配置相同的机器密钥（Machine Key） #

Forms身份验证Cookie是加密存储的，两个应用必须使用完全相同的机器密钥来加密和解密Cookie，否则WebForms应用无法解析MVC生成的Cookie内容。

在两个应用的web.config的<system.web>节点下添加完全一致的<machineKey>配置：

<machineKey 
  validationKey="YOUR_VALIDATION_KEY_HERE" 
  decryptionKey="YOUR_DECRYPTION_KEY_HERE" 
  validation="SHA1" <!-- 加密算法，两个应用必须一致 -->
  decryption="AES" <!-- 解密算法，两个应用必须一致 -->
/>

你可以用ASP.NET官方工具生成密钥：比如在Visual Studio的Package Manager Console中运行New-WebApplicationMachineKey命令，直接生成符合要求的密钥，然后复制到两个应用的配置里就行，确保完全一模一样。

3. 确保代码逻辑与配置对齐 #

你在MVC5中生成Ticket的代码已经用到了FormsAuthentication.FormsCookiePath，这个属性会自动读取web.config里的path配置，所以只要前面的配置正确，这段代码不需要修改，生成的Cookie会自动使用根路径，WebForms应用就能识别。

如果之后要修改Cookie的名称、路径等参数，建议都通过web.config配置，不要在代码里硬编码，这样两个应用的逻辑会始终保持一致。

4. 验证共享效果 #

完成配置后，按以下步骤测试：

• 在MVC5应用中登录，打开浏览器的开发者工具（F12），查看Cookie列表，确认存在名称为.ASPXAUTH（或你设置的名称）的Cookie，路径为/，域名为example.com；
• 直接访问WebForms应用的页面，在后台代码或前端中通过User.Identity.IsAuthenticated判断是否已登录，或者获取User.Identity.Name查看用户名是否正确。

额外注意事项 #

• 两个应用的.NET Framework版本必须一致，你这里都是4.6.1，刚好符合要求；
• 如果是本地测试（域名是localhost），domain可以设为.localhost或者留空，部分浏览器对localhost的Cookie处理有特殊规则；
• 不要随意修改加密/解密算法，一旦修改，所有已登录用户的Cookie都会失效，需要重新登录。

内容的提问来源于stack exchange，提问作者Alisson Reinaldo Silva