Ik heb een SaaS applicatie dat op meerdere domeinen beschikbaar kan zijn. Nu wil ik als ze wisselen van domein dat ze toch ingelogd blijven binnen de applicatie. Ik zal dus bij het linken naar een ander domein iets moeten meegeven waardoor de gebruiker herkend wordt.
Mijn idee is om een user_sessions tabel te maken en iedere gebruiker na inloggen een eigen session ID te geven en die op te slaan in de db + als cookie te plaatsen. Elke keer als ik link naar een extern domein doe ik dit bijv naar external.php?l=https://domain.tld/bla/bla/bla . Het script op external.php maakt een random token aan, slaat die op in users_sessions_tokens en geef die mee aan de link https://domain.tld/bla/bla/bla?token=xxxxxxxx . Hiermee kan ik zien welke user bij deze token hoort en diezelfde session ID nu ook als cookie op dit domein plaatsen.
Is dit een beetje een logische denkwijze? Of zie ik bijv qua security iets over het hoofd?
Mijn idee is om een user_sessions tabel te maken en iedere gebruiker na inloggen een eigen session ID te geven en die op te slaan in de db + als cookie te plaatsen. Elke keer als ik link naar een extern domein doe ik dit bijv naar external.php?l=https://domain.tld/bla/bla/bla . Het script op external.php maakt een random token aan, slaat die op in users_sessions_tokens en geef die mee aan de link https://domain.tld/bla/bla/bla?token=xxxxxxxx . Hiermee kan ik zien welke user bij deze token hoort en diezelfde session ID nu ook als cookie op dit domein plaatsen.
Is dit een beetje een logische denkwijze? Of zie ik bijv qua security iets over het hoofd?