將用戶登錄到不同的 URL

Question

因此，我在與主站點不同的 url 上有一個 web 站點的管理面板。 我們目前 hash 主站點上所有用戶的密碼。 客戶想要的是一種從管理站點自動登錄到主站點的方法。 我在完成此操作時遇到問題，因為交叉 url session 設置真的很痛苦。 到目前為止，我已經嘗試了 web 服務並使用 HttpWebRequest 訪問 web 頁面，該頁面將自動登錄用戶。 由於 session 問題，這些都不起作用。

所以我想我的問題是，實現這一目標的最佳方法是什么？ 它也必須是超安全的。 我目前正在使用過期的 hash 進行安全登錄。

更新

我在考慮Open ID。 雖然我不能使用它，因為我們已經定義了身份驗證系統，但想法是一樣的，我想在不修改身份驗證邏輯的情況下開發類似的東西。

Answer 1

我正在做的是使用數據庫來共享會話/用戶 ID：

• 在 web 應用程序 A 中，我有一個指向 web 應用程序 B 的鏈接。
• 該鏈接具有 web 應用程序 A 的唯一登錄 ID（例如 session ID）作為參數。

然后“工作流程”大致如下：

1. 當用戶單擊鏈接（或僅在Page_Load中）時，session ID 將存儲到 DB。
2. Web app B正在打開，web app A的session ID正在通過。
3. Web 應用程序 B 在數據庫中查找並搜索 web 應用程序 A 的 session ID。
4. 當它被發現時，會進行一些安全檢查（例如記錄年齡）。
5. 如果一切正常，則用戶已登錄 web 應用程序 B。

該表具有如下結構：

+--------------------------------------------------------+
| ID | SessionID | UserID | DateWhenThisRecordWasCreated |
+--------------------------------------------------------+

使用此配置，您可以在各種相關應用程序之間傳遞登錄信息，它們只需訪問同一個數據庫。 (If you cannot share the database, one could think of web app A providing a SOAP web service that web app B can query instead).

我無法想象其中有任何安全性； 另一方面，如果有人能想到一個，我會很高興聽到您的反饋。