Un client utilizza ASP classico per accedere al proprio backoffice basato sul Web.Condivisione del sistema di accesso tra ASP classico e ASP.Net
Ho scritto una nuova app ASP.Net da includere nel backoffice, e ho bisogno di utilizzare il sistema di login già esistente, in modo che quando sono loggati lì, non hanno bisogno di accedere di nuovo nella nuova app ASP.Net.
Gli accessi e le password vengono archiviati come testo in chiaro in un db di SQL Server, a cui posso accedere dalla mia app ASP.Net.
Quale sarebbe un modo efficace per integrare questi sistemi?
La mia migliore idea attuale è: Nel collegamento alla mia app ASP.Net, collego a una pagina di accesso "gateway" con i loro userid e una password hash + common secret nella querystring. Paragone quindi con la password dell'utente nel database ... Ma il problema è che, se questa querystring viene intercettata, può essere utilizzata per accedere al sito asp.net, senza conoscere effettivamente il nome utente e la password ...
Sono molto probabilmente trascurato qualcosa di semplice.
Se si inseriscono gli hash nella query querys, è necessario aggiungere anche la data e l'ora in cui scade e inviarli insieme. Certo, potrebbero ancora usarlo, ma almeno lo è. – PQW