Me encuentro en una situación en la que necesito transferir a un usuario de una aplicación móvil a una aplicación web. La aplicación móvil utiliza WebAPI en el backend con OAUTH 2. La aplicación web, por otro lado, es MVC que utiliza cookies.
No puedo cambiar la aplicación web de manera significativa, pero tengo el requisito de no tener al usuario para iniciar sesión en el sitio web después de que ya haya iniciado sesión en la aplicación.
Entonces, mi idea es agregar una ruta de punto de entrada a MVC, que no requiera autenticación y tome como parámetros el token utilizado en la API, y la URL que el usuario desea. El controlador autenticaría el token, emitiría la cookie y redirigiría al usuario hacia donde desea ir.
Esto sería un controlador de transferencia invisible. Tiene sentido y debería ser fácil de hacer, pero me siento incómodo al iniciar sesión en el sitio sin pasar por la ruta típica.
¿Existen vulnerabilidades potenciales en este enfoque?