如果有2個網站, 分別是 網站A 及 網站B, 它們有各自的權限控管機制,
在不讓user有再次登入的動作且網站B也不做大幅度的修改的前提下,
若user在網站A登入後, 欲使用網站B的功能, 如何在網站B自動登入呢?

1.A在DB的Table內insert一筆user的帳號密碼資料, 然後把user的帳號傳送到B, B再到DB內取得密碼, 自動登入B網站後刪除DB內A所insert的資料.
優點:不怕user密碼在傳送過程中外流.
缺點:B存取DB的次數過於頻繁.

2.直接把user在網站A的帳號密碼加密過後再傳到網站B, B再自動解密並登入.
例如:http://webB/login.jsp?user_a&password=password_a
優點:登入B時不用去存取DB.
缺點:user密碼在傳送過程中容易被截取.

我想問的是, 若使用第2種方法, 是不是不管A使用哪種加密演算法, 只要在傳送過程中, 加密後的資料被截取了,
爾後, 就算不知道user的原始帳號密碼, 只要有人把截取後的資料完整不動的傳給B, 那還是可以成功登入B網站,
那是否帳號密碼加不加密與不具意義了?

不知道大家有沒有其他的方法呢?

我個人的建議啦, 最好的方式就是架一台網站c, 讓大家都透過網站c登入後, 由c決定要轉址到a或b, 這樣a,b都不用動, 純針對c來設計就好了, 這比動a, 動b要投入的成本低很多!

可是這樣一樣會有c轉址到a或b時, 資訊被截取的問題啊

===================引 用 P.D. 文 章===================
我個人的建議啦, 最好的方式就是架一台網站c, 讓大家都透過網站c登入後, 由c決定要轉址到a或b, 這樣a,b都不用動, 純針對c來設計就好了, 這比動a, 動b要投入的成本低很多!

後來想想, 這個問題應該可以用SSL來解決.

windows的SSL可以參考這篇設定
http://blog.roodo.com/twpaddy/archives/3440113.html

也就是說A用https://............./login.asp?user=user01&password=pwd01的方式傳給B, 是不怕被截取到帳號密碼的,
但建議只用在登入部分, 不然可能會影響速度 <--這一段是純猜想
===================引 用 junlin 文 章===================
後來想想, 這個問題應該可以用SSL來解決.