Tenemos pocos sitios web en producción, como site1.dom1.com , site2.dom1.com , site3.dom1.com , que son Sólo réplicas trabajando en diferentes servidores.
Ahora queremos extender alguna aplicación en otro servidor, digamos app.dom1.com (Nota: no tengo acceso a las sesiones almacenadas en sitio1, sitio2 y sitio2) que requerirían autenticación ( Si el usuario ha iniciado sesión en cualquiera de site1 / site2 / site3), él / ella debería poder acceder a app.dom1.com
Ahora no queremos que la aplicación 1 interactúe con ninguno de los otros sitios.
Hemos pensado en generar cookies firmadas desde site1, site2 y site3 que podemos descifrar en la aplicación usando la misma clave secreta (que se usa para generar la firma) y buscar frases en particular y una marca de tiempo válida.
Ahora, ¿hasta qué punto es seguro este método? ¿Con qué frecuencia debo cambiar mi clave secreta, y es una buena forma de autenticación? Si es vulnerable, ¿cómo?