io la butto li LOL

1) tutto in https dato che la mia soluzione passa dei parametri sensibili in chiaro se no.
2) tieni i dati id,username,password per forza salvati o in session o nel db.
3) quando passi al tuo dominio principale tramite link passi in get anche questi dati.
4) nel tuo dominio principale se sono stati passati i dati in get in realtà esegui senza farlo notare all'utente un nuovo login dove verifichi che user passw siano giuste e che l'id associato sia corretto e salvi quindi la sessione .

Non ho la più pallida idea se la cosa è giusta a livello di buona programmazione ma penso funzioni.