8

Access Control Service (ACS)Windows Identity Foundation (WIF)を使用して、WCF Data Services Web API アプリケーションを保護することを考えています。

クレームを使用してユーザーを一意に識別するにはどうすればよいですか?

私の考えは、標準クレームNameIdentifierと WIF クレーム IdentityProvider を組み合わせて使用​​し、任意のユーザーに一意の ID を作成することです。

このコンボは本当に安定してユニークですか? IP が IdentityProvider 文字列を突然変更する可能性はありますか?

ここでの考え方は、2 つの半分を連結した文字列を任意のユーザーの一意の ID として保存することです。

NameIdentifier クレームにはセキュリティ上の意味がありますか?

乾杯、

M.

4

2 に答える 2

4

これは合理的なようです。nameidentifier は IdP 固有であることに注意してください。つまり、認証に使用した ID プロバイダー (LiveID、Google など) によって提供されます。ACS は単にこの値をクレームにコピーしています。これらのプロバイダーのそれぞれに確認して、彼らが何を保証しているかを確認してください. 私の仮定は、「リピーター」-> 同じユーザー名/パスワードを持っている人のために変更すべきではないということです。

人々はしばしば電子メールアドレスも使用します。利用可能な場合は、追加の尺度として関連付けることもできます。

于 2011-04-22T16:28:21.603 に答える
2

Justin Smithは、MIX11の講演でこれについて言及しました(講演の28分後のスライド22を参照)。ACSが名前識別子とIdP名を提供することは私の理解でした。タプルを一緒に使用すると、一意のIDに適しているはずです。

于 2011-05-19T15:13:06.140 に答える