跨网站用户验证安全问题

我用ASP做的网站程序想出售，就想通过用户验证的方式。设想在我自己建立的一个网站做个用户注册验证系统，用户的程序网站首先要进入用户登陆页面，然后到我的网站验证，通过后把特定信息传递到用户网站，用户网站记录一个Session就可以正常使用。我担心的问题是用户写个ASP页面直接先弄个Session记录，那就可以使用程序了。可是用户网站的ASP程序也不能直接判断另一个网站的Session啊。如果能判断Session是生成者是谁，也就是哪个页面产生的Session记录，那样会安全些。
另外我想问下用户没有直接看到生成Session的源文件，能不能写个程序在本地取得Session的名称和值？也就是如果我把生成Session的页面加密的足够好，是不是就用这种验证方式就算安全了？