ASP.NET单一登录问题

Question

我这里有一个充满挑战的场景 我有一个现有的asp.net 1.1 Application A，它使用第三方Java应用程序进行登录身份验证。

身份验证成功后，基于加密URL的第三方应用程序将重定向到我现有的应用程序A。应用程序A将解密该URL并为已身份验证的用户执行会话登录。

我正在开发一个新的应用程序B（asp.net 2.0），该页面提供了一个页面供用户在应用程序A或B之间进行选择。

我已经考虑过存储加密的URL，应用程序A和B都将基于加密的查询字符串来适当地解密和认证用户。 但是，我认为这种方法会带来安全风险。

有没有更好的解决方案来实现这一目标？

Answer 1

您的用户数据存储在哪里？ 如果它在数据库表中，则使用共享的用户数据库表在多个Web应用程序中保持登录状态的最简单方法是针对数据库中的用户记录使用基于GUID的登录令牌。 每次用户登录到应用程序时，都会生成一个新的GUID令牌。 然后，您可以在应用程序之间传递此信息。 如果应用程序通过了此向导，它将自动登录到相关用户。 只要使用https，这是相当安全的。 并且您没有传递登录信息。 即使有人以某种方式找到GUID，也只适合单个会话。