Окуражен от SO, опитвам се да напиша ASP.NET сайт, който използва OpenID за удостоверяване на потребителя. Това е обикновен сайт на WinForms (не MVC.NET), използващ библиотеката DotNetOpenId за удостоверяване.
Безопасно ли е за мен да разреша/отказвам административни функции на сайта, като просто сравня „ClaimedID“ на текущата сесия (както се връща в събитието OpenIdLogin_LoggedIn, като член DotNetOpenId.RelyingParty,OpenIdEventArgs.Response.ClaimedIdentifier) с OpenID на известен администратор (т.е. моята)?
Ако е така, безопасно ли е този идентификатор да бъде видим (напр. в код с отворен код) или трябва да бъде „скрит“ в конфигурационен файл или в ред на база данни? (Знам, че е по-добър дизайн, за да може да се конфигурира, въпросът ми е само за безопасността.)