Пользователь регистрируется с использованием аутентификации по умолчанию Laravel, которая помещает зашифрованный файл cookie в браузер и сохраняет сеанс в базе данных.
Пользователь переходит к классической странице asp, где я проверяю значение cookie, получаю хэш и вызываю приложение laravel назад, передавая хэш-идентификатор сеанса.
Затем я использую это в laravel, чтобы увидеть, есть ли активный сеанс для этого id, и если это так, я возвращаю true, поэтому пользователь может войти в систему в классическом asp.
В каждом запросе страницы в классическом приложении я проверяю last_updated_time в db и обновляю его на каждой странице. Все входы и выходы выполняются в laravel, а классика полагается на базу данных, чтобы узнать, активен ли сеанс.
Я бы также вызвал публичный url для получения переменных сеанса и добавления переменных сеанса с использованием laravel, поскольку все это зашифровано и использование классического asp для этого было бы трудным.
Единственный риск, который я вижу, - это сеанс высокой загрузки, но я не думаю, что это более высокий риск, чем обычно.
Важно ли блокировать URL-адрес laravel, который я вызываю, чтобы проверить, действительно ли он работает?
Я пропустил здесь отверстие безопасности?