Воодушевленный SO, я пытаюсь написать сайт ASP.NET, который использует OpenID для аутентификации пользователя. Это обычный сайт WinForms (не MVC.NET), использующий для аутентификации библиотеку DotNetOpenId.
Могу ли я разрешить / запретить административные функции на сайте, просто сравнив текущий сеанс «ClaimedID» (возвращенный в событии OpenIdLogin_LoggedIn, как член DotNetOpenId.RelyingParty, OpenIdEventArgs.Response.ClaimedIdentifier) с известным идентификатором OpenID администратора (т. Е. мой)?
Если да, то безопасно ли для этого идентификатора быть видимым (например, в открытом исходном коде), или он должен быть «спрятан» в файле конфигурации или в строке базы данных? (Я знаю, что лучше сделать его настраиваемым, мой вопрос как раз о безопасности.)
