在 SO 的鼓励下,我正在尝试编写一个使用 OpenID 进行用户身份验证的 ASP.NET 站点。这是一个常规的 WinForms 站点(不是 MVC.NET),使用DotNetOpenId库进行身份验证。
通过简单地将当前会话的“ClaimedID”(在 OpenIdLogin_LoggedIn 事件中返回,作为成员 DotNetOpenId.RelyingParty,OpenIdEventArgs.Response.ClaimedIdentifier)与已知管理员的 OpenID(即矿)?
如果是这样,这个 ID 是可见的(例如在开源代码中)是否安全,还是应该“隐藏”在配置文件或数据库行中?(我知道让它可配置的设计更好,我的问题只是关于安全性。)