将用户登录到不同的 URL

Question

因此，我在与主站点不同的 url 上有一个 web 站点的管理面板。 我们目前 hash 主站点上所有用户的密码。 客户想要的是一种从管理站点自动登录到主站点的方法。 我在完成此操作时遇到问题，因为交叉 url session 设置真的很痛苦。 到目前为止，我已经尝试了 web 服务并使用 HttpWebRequest 访问 web 页面，该页面将自动登录用户。 由于 session 问题，这些都不起作用。

所以我想我的问题是，实现这一目标的最佳方法是什么？ 它也必须是超安全的。 我目前正在使用过期的 hash 进行安全登录。

更新

我在考虑Open ID。 虽然我不能使用它，因为我们已经定义了身份验证系统，但想法是一样的，我想在不修改身份验证逻辑的情况下开发类似的东西。

Answer 1

我正在做的是使用数据库来共享会话/用户 ID：

• 在 web 应用程序 A 中，我有一个指向 web 应用程序 B 的链接。
• 该链接具有 web 应用程序 A 的唯一登录 ID（例如 session ID）作为参数。

然后“工作流程”大致如下：

1. 当用户单击链接（或仅在Page_Load中）时，session ID 将存储到 DB。
2. Web app B正在打开，web app A的session ID正在通过。
3. Web 应用程序 B 在数据库中查找并搜索 web 应用程序 A 的 session ID。
4. 当它被发现时，会进行一些安全检查（例如记录年龄）。
5. 如果一切正常，则用户已登录 web 应用程序 B。

该表具有如下结构：

+--------------------------------------------------------+
| ID | SessionID | UserID | DateWhenThisRecordWasCreated |
+--------------------------------------------------------+

使用此配置，您可以在各种相关应用程序之间传递登录信息，它们只需访问同一个数据库。 (If you cannot share the database, one could think of web app A providing a SOAP web service that web app B can query instead).

我无法想象其中有任何安全性； 另一方面，如果有人能想到一个，我会很高兴听到您的反馈。