Коллеги, есть такая задачка.
Реализован и работает сайт, авторизация на котором реслизована с помощью Membership. Всё работает как швейцарские часы.
Но теперь появился ещё один сайт (разработчик не я), в котором авторизация и проверка прав доступа должны идти через мой сайт (придумал это тоже не я, но делать надо :( ). Т.е. их пользователь авторизуется через мою форму авторизации, затем по ссылке с главной страницы моего сайта должен уйти в совю систему и работать дальше в ней. Предполагается, что я при переходе на их сайт должен просто "передать id сессии авторизованного пользователя" в запросе, а дальше "предоставить свой API для получения имени пользователя по id сессии и проверки прав доступа". На мой взгляд, абсолютный бред.
Но, может быть, я ошибаюсь, и такая связка реализуема? Посоветуйте, плз, как тут быть?

Вносить изменения можно в оба сайта, но разными разработчиками. Т.е. я в их новый сайт влезть не смогу.

Сайты могут быть в разных доменах. Т.е. новая система должна быть разработана так, чтобы работать в другом домене, но как реально она будет размещена - решать только заказчику.

Общей БД нет. Как я понимаю, они хотят использовать данные о пользователях из моей БД, поскольку на моём портале работает сервис, автоматически обновляющий данные заказчика, в т.ч. информацию о пользователях, ролях, назначении ролей пользователям и т.п. Вся остальная информация будет храниться в разных базах.

По поводу зашифрованной информации о пользователе я тоже думал. Но по их требованиям я даю только id сессии как параметр в http-запросе при редиректе на их систему. И потом по требованию по этому id должен предоставить login пользователя. Как на основе одного только id моей сессии они собираются работать - не ясно. Ведь по факту работа моего web-приложения должна закончиться после перехода пользователя на их сайт, т.к. после этого никаких запросов к нему от пользователя нет.