Как вы передаете аутентифицированный сеанс между доменами приложений

Попробуйте использовать FormAuthentication, настроив раздел аутентификации web.config следующим образом:

<authentication mode="Forms">
  <forms name=".ASPXAUTH" requireSSL="true" 
      protection="All" 
      enableCrossAppRedirects="true" />
</authentication>

Сгенерируйте машинный ключ. Пример: Самый простой способ создания MachineKey – Советы и рекомендации: ASP.NET, IIS...

При отправке в другое приложение билет аутентификации передается как скрытое поле. Во время чтения сообщения из первого приложения второе приложение прочитает зашифрованный билет и аутентифицирует пользователя. Вот пример страницы, которая передает это поле:

.aspx:

<form id="form1" runat="server">
  <div>
    <p><asp:Button ID="btnTransfer" runat="server" Text="Go" PostBackUrl="http://otherapp/" /></p>
    <input id="hdnStreetCred" runat="server" type="hidden" />
  </div>
</form>

код программной части:

protected void Page_Load(object sender, EventArgs e)
{
    FormsIdentity cIdentity = Page.User.Identity as FormsIdentity;
    if (cIdentity != null)
    {
        this.hdnStreetCred.ID = FormsAuthentication.FormsCookieName;
        this.hdnStreetCred.Value = FormsAuthentication.Encrypt(((FormsIdentity)User.Identity).Ticket);
    }
}

Также см. раздел проверки подлинности через форму приложения в главе 5 этого книга от Wrox. Он рекомендует ответы, подобные приведенным выше, в дополнение к домашнему решению SSO.

Если вы используете встроенную систему членства, вы можете выполнять проверку подлинности между субдоменами с аутентификацией форм, используя что-то подобное в каждом файле web.config.

<authentication mode="Forms">
    <forms name=".ASPXAUTH" loginUrl="~/Login.aspx" path="/" 
                  protection="All" 
                  domain="datasharp.co.uk" 
                  enableCrossAppRedirects="true" />

</authentication>

Убедитесь, что имя, путь, защита и домен одинаковы во всех файлах web.config. Если сайты находятся на разных машинах, вам также необходимо убедиться, что ключ машины и ключи проверки и шифрования совпадают.

Если вы храните сеансы пользователей в базе данных, вы можете просто проверить наличие Guid в таблице сеансов, если он существует, то пользователь уже аутентифицирован на другом домене. Чтобы это работало, вам нужно будет включить руководство сеанса в URL-адрес, когда вы перенаправляете пользователя на другой веб-сайт.

Не знаю, что бы вы использовали для .NET, но обычно я бы использовал memcached в стеке LAMP. .

Разрешение зависит от типа приложения и среды, в которой оно работает. Например. в интрасети с доменом NT вы можете использовать NTLM для передачи учетных данных Windows непосредственно на серверы в периметре интрасети без необходимости дублировать сеансы.

Подход, как это сделать, обычно называется единый вход (см. Википедия).

Существует несколько подходов к этой проблеме, которая описывается как «Междоменный единый вход». Статья в Википедии, на которую указывает Матей, особенно полезна, если вы ищете решение с открытым исходным кодом, однако в среде Windows я считаю, что вам лучше всего использовать один из двух подходов:

1. Купите коммерческий продукт SSO (например, SiteMinder или PingIdentity)
2. Используйте междоменное решение Microsoft SSO, которое называется ADFS — Active Directory Federation. Услуги. (федерация — это термин для координации поведения нескольких доменов)

Я использовал SiteMinder, и он работает хорошо, но дорого. Если вы полностью работаете в среде MicroSoft, я думаю, что ADFS — ваш лучший выбор. Начните с этого технической документации ADFS.

Я бы использовал что-то вроде CAS:

[1]: http://www.ja-sig.org/products/cas/ КАС

Это решаемая проблема, и я бы не рекомендовал сворачивать ее самостоятельно.

В качестве альтернативы, если вы хотите создать свой собственный, а рассматриваемые сайты находятся на разных серверах или не имеют доступа к общей базе данных (в этом случае см. Ответы выше), вы можете разместить тег веб-маяк на каждом из сайтов, который будет ссылаться на другой сайт.

Поместите однопиксельное изображение (веб-маяк) на сайт A, который будет вызывать сайт B, передавая идентификатор пользователя (зашифрованный и с отметкой времени). Затем это создаст новый сеанс пользователя на сайте B для пользователя, который будет установлен как вошедший в систему. Затем, когда пользователь посещает сайт B, он уже будет входить в систему.

Чтобы свести к минимуму звонки, вы могли разместить веб-маяк только на главной странице и/или страницах подтверждения входа. Я успешно использовал это в прошлом для передачи информации между сайтами-партнерами.