跨网站用户验证安全问题
我用ASP做的网站程序想出售,就想通过用户验证的方式。设想在我自己建立的一个网站做个用户注册验证系统,用户的程序网站首先要进入用户登陆页面,然后到我的网站验证,通过后把特定信息传递到用户网站,用户网站记录一个Session就可以正常使用。我担心的问题是用户写个ASP页面直接先弄个Session记录,那就可以使用程序了。可是用户网站的ASP程序也不能直接判断另一个网站的Session啊。如果能判断Session是生成者是谁,也就是哪个页面产生的Session记录,那样会安全些。
另外我想问下用户没有直接看到生成Session的源文件,能不能写个程序在本地取得Session的名称和值?也就是如果我把生成Session的页面加密的足够好,是不是就用这种验证方式就算安全了?