安全的方式进行身份验证的管理员ASP.NET 网站使用OpenID与DotNetOpenID

Question

鼓励所以，我尝试写一个ASP.NET 网站使用的OpenID的用户认证。这是一个经常它的网站(不MVC.NET)，使用 DotNetOpenId 图书馆进行认证。

它是安全的我的许可证/拒绝行政的功能的网站上通过简单地比较本届会议的"ClaimedID"(如返回的OpenIdLogin_LoggedIn事件，作为会员DotNetOpenId.RelyingParty,OpenIdEventArgs.响应。ClaimedIdentifier)一名管理员的OpenID(即矿山)?

如果是这样，它是安全这个ID可见(例如在开放源代码)，或应被"隐藏"在配置文件或一个数据库，行吗？(我知道这是更好地设计可配置的，我的问题是，只有关的安全。)

Answer 1

杰瑞使得一些良好的意见，关于使用数据库的数据表。

只要回答另一个问题，不，这不是一个保密的事情来把你的OpenID在你的代码。如果设定的角色似乎矫枉过正的为你的网站，一个简单的平等检查，对你ClaimedIdentifier仅仅是完美的。

Answer 2

我的解决方案是按照同样思想的角色表。你已经已验证用户查找该用户的角色。如果用户具有的作用"管理员"在UserRoles表，然后他们可以做任何管理员可以做的。

我不广播打开ID在我的应用程序。他们是储存在表。在每次行动结果，我打的用户表，因为我也已修改的地雷储存的各种用户国家的信息。除的主页，是将一些用户信息，我需要该表。我使用的是皇宫，所以包括我的.LoadWith()载的用户与他的角色时它将.