Единый вход в ASP.NET

Question

У меня здесь сложный сценарий. У меня есть существующее приложение A asp.net 1.1, которое использует стороннее Java-приложение для аутентификации при входе.

После успешной аутентификации стороннее приложение, основанное на зашифрованном URL, перенаправляет в мое существующее Приложение A. Приложение A затем расшифровывает URL и выполняет вход в сеанс для аутентифицированного пользователя.

Я разрабатываю новое приложение B (asp.net 2.0), которое предоставляет пользователю страницу для выбора между приложением A или B.

Я думал о сохранении зашифрованного URL-адреса, и оба приложения A и B будут основаны на зашифрованной строке запроса для соответствующей расшифровки и аутентификации пользователя. Тем не менее, я считаю, что такой подход создает угрозу безопасности.

Есть ли лучшие решения для реализации этого?

Answer 1

Где хранятся ваши пользовательские данные? Если он находится в таблице БД, самый простой способ сохранить состояние входа в систему для нескольких веб-приложений с таблицей общих пользователей - использовать что-то вроде токена входа на основе GUID, хранящегося в записи пользователя в базе данных. Каждый раз, когда пользователь входит в приложение, генерируется новый маркер GUID. Затем вы можете передать это между приложениями. Если приложение передается по этому руководству, оно автоматически регистрируется в соответствующем пользователе. Пока вы используете https, это довольно безопасно. и вы не проходите логин. Даже если кто-то каким-то образом узнает GUID, это будет хорошо только для одного сеанса.