情况有点复杂,所以我会尝试清楚解释。
我是与另一个程序集成的程序的一部分,我们正在将所有Web应用程序传输到他们的服务器。因此,我们将在其网站上有一个部分,可通过其门户和身份验证(智能卡)进行访问。
他们决定处理身份验证的方式是他们需要在身份验证后访问我们所有的URL,但是一旦用户验证他们将验证交给我们的页面,我们只需从Web服务调用用户信息。
我想知道的是:
即使我们不处理原始登录,我们是否应该根据从Web服务获得的信息使用完整的身份验证系统,或者在会话或cookie中注册用户?
我不知道他们设置的网络服务是如何工作的,但我在尝试集成之前尽可能多地准备网站。
如果不清楚,我道歉,这是一个复杂的情况,我无法控制。
感谢您的任何建议!
答案 0 :(得分:0)
在我看来,使用cookie进行身份验证应该足够了。双重“完全成熟”的身份验证似乎存在问题并且过度。但是,如果您使用cookie,您应该考虑加密它们。有关详细信息,请参阅this stackoverflow post。