Я исследую, как аутентифицировать пользователя по домену abc.com , а затем разрешить ему доступ к защищенной области сайта xyz.com без повторной регистрации.
После небольшого прочтения следующее решение выглядит работоспособным:
Пользователь входит на сайт abc.com с помощью обычной проверки подлинности форм
При успешном входе в систему в общей базе данных создается запись, содержащая guid, имя пользователя и текущую дату / время.
Маркер безопасности создается путем шифрования guidа затем возвращается перенаправление на сайт xyz.com с токеном безопасности в качестве параметра строки запроса.
Сайт xyz.com получает входящий запрос, расшифровывает токен, находит соответствующую записьв базе данных (отфильтровано по последней минуте), а затем создает cookie проверки подлинности форм для соответствующего пользователя перед перенаправлением пользователя обратно на abc.com
Теперь пользователь должениметь две формы файлов cookie аутентификации, по одному для каждого домена.
Является ли этот подход в принципе обоснованным?Есть ли хорошие отзывы, о которых вы знаете?