Se i siti A e B sono collegati internamente, puoi semplicemente trasportare le informazioni sulla sessione, in modo che la chiave di sessione possa essere utilizzata per accedere automaticamente al sito Web B - facendo questo senza i siti A e B che comunicano internamente in qualche modo sarebbe molto difficile da proteggere .
Fondamentalmente è necessario un metodo di A che dice a B quali codici di sessione client sono validi, senza fare affidamento sul client che trasmette queste informazioni.
Ovviamente è possibile farlo in questo modo usando PKI, ma immagino sia un po 'complicato per te. In ogni caso, questa soluzione sarebbe fondamentalmente implementata come segue:
- Il client collega i log al sito web A
- Il sito Web A crea un cookie di sessione e lo firma con la chiave pubblica del sito Web
- Sito Web Reindirizza il cliente al sito Web B insieme al cookie firmato
- Il cliente accede al sito Web B, presenta un cookie di sessione firmato
- Il sito B legge cookie di sessione, lo verifica con la chiave privata del sito Web
- Il client è ora connesso al sito web B
Tieni presente che l'intero processo potrebbe comunque risentire di numerosi attacchi se nessuna di queste connessioni non è protetta tramite SSL / TLS.