るきお様

毎度ご教授ありがとうございます。
素人のじじいにはとっては、なかなか難しいですね・・・　ますます毛がなくなりそうです。
まず、教えて頂いたセッションIDの件は、これから試してみようと思います

推奨のトークンの方法がんんんんです
素人考えでは、
何かキーをページに埋め込んでおく。
id passをキーで暗号化して、urlに埋める。
キーは、３０分間隔程度で入れ替える
３０分間以上のリロード間隔を稼ぐため、復号化する際は、今回キー及び、前回キー
両方で復号化を行う
一旦認証が終われば、後は、上記のセッションIDで識別でいいでしょうかね？

スマホの場合は、外部からのアクセスになるので、かなり面倒なことに・・。
一応、ファイアウォールを設置
DMZ上にWebサーバを設置し、スマホ向けのaspを乗せる
別セグメントにある、MS-SQLサーバに接続して利用
Webサーバは、ADに参加させず、MS-SQLサーバのみへのアクセス権に限定
スマホ向けページにアクセスするには、Webサーバの機能でIDとパスワードを要求
（これは、会社で共通で利用）
その後、個人認証と識別の為、個人ID PASSを入力　MS-SQLサーバの内容と照合

てな感じで考えていますが、どうなることやら。