Можно ли использовать утверждения NameIdentifier и IdentityProvider (WIF) для однозначной идентификации любого пользователя?

Question

Думая об использовании Службы контроля доступа (ACS) и Windows Identity Foundation (WIF) для защиты моего приложения веб-API служб данных WCF.

Как я могу использовать заявки для однозначной идентификации пользователя?

Моя идея состоит в том, чтобы использовать комбинацию стандартной заявки NameIdentifier и заявки WIF IdentityProvider в сочетании, чтобы создать уникальный идентификатор для любого пользователя.

Является ли эта комбинация действительно стабильной и уникальной? Может ли IP-адрес внезапно изменить строку IdentityProvider?

Идея заключается в том, чтобы сохранить объединенную строку двух половинок в качестве уникального идентификатора для любого пользователя.

Имеет ли претензия NameIdentifier какие-либо последствия для безопасности?

Приветствия

М.

Answer 1

Это кажется разумным. Обратите внимание, что nameidentifier специфичен для IdP, то есть он предоставляется поставщиком удостоверений, с которым вы прошли аутентификацию (например, LiveID, Google и т. Д.). ACS просто копирует это значение в заявку. Узнайте у каждого из этих провайдеров, какие гарантии они дают. Я предполагаю, что они не должны меняться на «возвращающегося пользователя» -> того, кто обладает тем же именем пользователя / паролем.

Люди также часто используют адреса электронной почты. Если возможно, возможно, вы захотите скоррелировать это как дополнительную меру.

Answer 2

Джастин Смит упомянул об этом в своем выступлении MIX11 (см. Слайд 22, 28 минут разговора) - насколько я понимаю, ACS дает вам идентификатор и имя IdP. Вы берете кортеж вместе, и это должно быть хорошо для уникального идентификатора.