安全性和可行性考虑到通过Business催化剂前端登录到另一台服务器

Question

我有一个客户端，它选择在他们面向公众的服务中使用Business催化剂，他们希望访问大约四台不同的服务器来进行各种活动。设计团队已经提出了一个要求，要求能够使用Business催化剂上针对每个目的地的唯一登录表单登录到这些不同的服务器。

第一个问题是在https页面中有一个登录表单。Business催化剂有“安全区域”，可以向已经登录到Business催化剂的用户公开，我相信通过向一系列IP地址开放安全区，不需要登录就可以做到这一点。这不像是任何开发人员的善意举动(如果必须向每个人公开的话，安全区域就是矛盾的)，所以请告诉我是否通过了精神错乱检查。从UX的角度来看，让用户登录到Business催化剂，这样他们就可以登录到其中一个安全服务器，这是行不通的。

第二个问题是Business催化剂指出，它必须在安全区域内，才能使用我需要的外部工具来完成任何工作。这可以通过解决第一个问题来解决，但这更多地与表单查询有关。我有内容模块，需要查询这些服务器，无需登录，就可以将非关键信息作为响应。

我在本周末进行了一次非详尽的搜索，试图找到一个优雅的解决方案来应对这一挑战，但这似乎并不是Business催化剂设计要解决的问题。

对于你们中那些TLDR的人；

• 我需要一种安全的方式从Business催化剂登录到4台服务器中的1台，而无需登录到Business催化剂(上面提到的当前实现理论)。
• 我需要一种方法来查询来自4台服务器中的1台服务器的非关键信息响应，同样不需要登录到Business催化剂(例如返回成本估算结果)。
• 让用户登录Business催化剂是不可接受的，只需将查询或登录到4台服务器中的1台。
• 可能不可能允许用户使用它们的Business催化剂会话句柄访问其他服务器。

Answer 1

当用户登录到BC时，他将获得VSVxxxxx格式的cookie，其中xxxxxx是BC站点ID，cookie的内容被散列为活动会话ID，然后BC导出两个web服务API和eCommerce。在CRM服务中有一个方法Contact_IsLoggedIn，它有两个参数-用户ID和会话ID，会话ID是用户VSVxxxxx cookie中的一个。它返回true/false，无论用户是否真正登录在BC。

请注意BC有一些奇怪的会话处理..。持续30分钟。不管用户是在网站上点击还是不点击。