asp.net – 安全地将用户从一个ASP .NET应用程序转移到另一个

如果App1是用户的入口点,那么在登录时App1应该为该用户创建一个键值对,该键值由用户名和生成的密钥组成(例如GUID).以编程方式,它应该与App2通信并发送此密钥(例如,启动后台线程).假设用户John Doe在App1上成功登录.

App1生成一个密钥(3l3kjlk3j4lkj34,JohnDoe)并通过某种通信将其发送到App2(例如通过HTTP调用URL,例如www.app2.com/SetTempKey.aspx?userId=JohnDoeu0026amp;key=3l3kjlk3j4lkj34-一个页面出于安全原因,仅允许来自某个IP的请求).

App2将收到临时访问密钥并存储它.假设App2的登录页面位于www.app2.com/login.aspx.

在app1中,您将生成一个指向www.app2.com/login.aspx?tempKey=3l3kjlk3j4lkj34的链接,其中包含一个像“转到我们的app2”的标签.当用户单击链接时,将调用app2上的login.aspx页面.检查查询字符串是否存在tempKey查询字符串参数,然后检查存储在app2中的临时密钥中密钥的有效性,发现这真的是JohnDoe.

App2只需通过调用FormsAuthentication.RedirectFromLoginPage(“JohnDoe”,true)来记录他(首先是用户名,然后如果formsAuth cookie应该是持久的/ not_session_lived).

……那就是它.