Dadas dos compañías que administran dos sitios web separados, el cliente desea que el usuario pueda iniciar sesión en un sitio web y luego hacer clic en un enlace para navegar a una parte determinada del segundo sitio web. El cliente desea eliminar la necesidad de iniciar sesión por segunda vez al llegar al segundo sitio web.
Estoy pensando que la solución es
- En lugar de enlazar directamente con el segundo sitio web, enlace a una página de redireccionamiento dentro del primer sitio.
- La página de redireccionamiento generará una cadena aleatoria , y notificará al segundo sitio web cuál es la cadena aleatoria y para qué ID de usuario y dirección IP es.
- El usuario sería redirigido al segundo sitio web con la cadena aleatoria incluida en la URL.
- El segundo sitio web verificará la cadena aleatoria + IP + fecha / hora .
- Una vez validado, el segundo sitio web inicializará una sesión de inicio de sesión dando al usuario el acceso adecuado.
Las advertencias que conozco son
- La seguridad del segundo sitio web se limita a la del primer sitio web.
- Si el usuario cierra sesión en un sitio, no se cerrará automáticamente la sesión en otro.
Así que mi pregunta es
- ¿Es esta solución una buena, sería segura si se implementa correctamente?
- ¿Hay otra solución obvia / mejor que debería estar revisando?
- Por favor, avíseme si hay alguna otra advertencia que deba tener en cuenta, o cosas a tener en cuenta durante la implementación.