Abbiamo pochi siti web di produzione che dicono site1.dom1.com , site2.dom1.com , site3.dom1.com che sono solo repliche che funzionano su server diversi.
Ora vogliamo estendere alcune applicazioni su un altro server, diciamo app.dom1.com (Nota: non ho accesso alle sessioni memorizzate in site1, site2 e site2) che richiederebbero l'autenticazione ( se l'utente ha effettuato l'accesso in qualsiasi sito1 / sito2 / sito3), deve poter accedere a app.dom1.com
Ora non vogliamo app1 per interagire con nessuno degli altri siti.
Abbiamo pensato di generare cookie firmati da site1, site2 e site3 che possiamo decifrare su app usando lo stesso secret_key (che è usato per generare la firma) e controllare una frase particolare e un timestamp valido.
Ora, quanto è sicuro questo metodo. Con quale frequenza dovrei cambiare la mia chiave segreta ed è un buon modo per l'autenticazione? Se è vulnerabile, come?