asp.net的自代验证forms

提到.net是比较热门的技术，两年前转入的这个技术，以前用asp,对ing于用户登录验证采用session而不用cookie,因为这个cookie实在是喜欢他，它以文件形式存在开户端实现让人觉得不安全。现在弄了很久的.net，开始不习惯asp.net控件，觉得实在不爽，
一是开始转型的时候不习惯，后来习惯了觉得还可以。
二是太多依赖于控件，这个很是不喜欢，不如验证，ajax.我不喜欢用它的控件，喜欢自己用脚本来写，即便是走了弯路，毕竟那是自己写的好把握，还有就是锻炼自己，所以重来就没有研究和使用过它的验证。也不想去研究和使用。
但是他的布局方式说实话asp是没法比的，这个我觉得是个很好的选择。
现在的问题是涉及到一个跨域的身份验证，开始想到用session记录，但是sesion是乎是不能解决这个问题的，于是在网上找了好久，开有没有高人能够用session解决这个问题，但是结果是没有，说是实在的sesion的设计就不是问这个服务的。
所以退而求其次cookie，cookie是可以但是不安全，ing于是在网上收缩到了他安全，和其本身性能上的一些问题，于是便对其根源也开始了解，找来找去其实就是那么点东西，存在于客户端，可以加密，但是要自己加密，传输后还要自己解密。看样子就只能这样了，在这个时候突然了解到asp.net还有一个自己的验证方式.froms，可以在web.cong中设置，哦不错看来.net是为我们做了很多事情，天啊这个时候开始自责自己的模式了，还是应该了解.net的全貌，要不然初学的人都可能比你全面。
但是发现这个forms(开始以为是表单数据，实在太像了，实际上应该是表单形式)用的是cookie,还要在web.comfig里面设置，然我感到很不安，这个东西就这样摆在那里安全么，哦这个问题网上找了些内容没有得到结论。
希望看到的人能够给我个详细的结论，在这里谢谢了。