Können NameIdentifier und IdentityProvider (WIF) verwendet werden, um einen Benutzer eindeutig zu identifizieren?

8

Denken Sie daran, Access Control Service (ACS) und Windows Identity Foundation (WIF) , um meine WCF Data Services-Web-API-Anwendung zu sichern.

Wie kann ich Ansprüche verwenden, um einen Benutzer eindeutig zu identifizieren?

Meine Idee ist es, die Kombination des Standardanspruchs NameIdentifier und der WIF-Anspruch, mit dem IdentityProvider eine eindeutige ID für jeden Benutzer erstellt hat.

Ist diese Combo wirklich stabil und einzigartig? Könnte eine IP plötzlich ihre IdentityProvider-Zeichenfolge ändern?

Die Idee hier ist, die verkettete Zeichenfolge der beiden Hälften als eindeutige ID für jeden Benutzer zu speichern.

Hat der NameIdentifier-Anspruch irgendwelche Auswirkungen auf die Sicherheit?

Prost,

M.

    
noopman 19.04.2011, 07:40
quelle

2 Antworten

4

Das scheint vernünftig. Beachten Sie, dass der Name Identifier IdP-spezifisch ist. Dies bedeutet, dass er vom Identitätsanbieter bereitgestellt wird, mit dem Sie sich authentifiziert haben (z. B. LiveID, Google usw.). ACS kopiert diesen Wert einfach in einen Anspruch. Erkundigen Sie sich bei jedem dieser Anbieter, um zu sehen, welche Garantien sie geben. Meine Annahme ist, dass sie sich nicht für einen "wiederkehrenden Benutzer" ändern sollten - & gt; jemand, der den gleichen Benutzernamen / Passwort besitzt.

Menschen benutzen oft auch E-Mail-Adressen. Wenn verfügbar, möchten Sie möglicherweise auch eine zusätzliche Kennzahl zuordnen.

    
Eugenio Pace 22.04.2011 16:28
quelle
2

Justin Smith erwähnte das in seinem MIX11-Talk (siehe Folie 22, 28 Minuten nach dem Vortrag) - Ich habe gehört, dass ACS Ihnen den Namen und den IdP-Namen gibt. Sie nehmen das Tupel zusammen und es sollte für eine eindeutige ID gut sein.

    
Rob 19.05.2011 15:13
quelle