Un client utilise ASP classique pour se connecter à son backoffice Web.Partage du système de connexion entre ASP classique et ASP.Net
J'ai écrit une nouvelle application ASP.Net à inclure dans le backoffice, et j'ai besoin d'utiliser le système de connexion déjà existant, de sorte que lorsqu'ils sont connectés, ils n'ont pas besoin de se reconnecter dans la nouvelle application ASP.Net Les noms d'utilisateur et les mots de passe sont stockés en tant que texte clair dans une base de données SQL Server, accessible depuis mon application ASP.Net.
Quel serait un moyen efficace d'intégrer ces systèmes?
Ma meilleure idée actuelle est: Dans le lien vers mon application ASP.Net, je créer un lien vers une connexion page « passerelle » avec leur code d'utilisateur et un mot de passe secret commun + haché dans le querystring. Je compare ensuite cela au mot de passe de l'utilisateur dans la base de données ... Mais le problème est, que si cette chaîne de requête est interceptée, elle peut être utilisée pour accéder au site asp.net, sans connaître le nom d'utilisateur et le mot de passe ...
Je suis susceptible d'oublier quelque chose de simple.
Si vous mettez des hachages dans la chaîne de requête, ils doivent être expirés, c'est-à-dire que vous ajoutez également la date et l'heure à laquelle elle expire, et envoyez-les également. Bien sûr, ils pourraient toujours utiliser cela, mais au moins, il expire. – PQW