Я уже давно использовал аутентификацию OpenId и помню пользователей, которые использовали RequestedIdentifier (в терминах DotNetOpenAuth) - строку, возвращаемую поставщиком OpenId после аутентификации.Уязвимость OpenId для проверки подлинности
Но внезапно я понял, что это решение имеет уязвимость. Представим себе, что есть провайдер 1 OpenId, который возвращает идентифицированный «идентификатор1» для пользователя 1. Теперь, если я знаю этот идентификатор, я могу запустить свой пользовательский провайдер OpenId и вернуть тот же идентификатор, поэтому я смогу войти в систему под пользователем 1.
Теперь я думаю о хранении openid_identifier (URL-адреса поставщика OpenId) + ClaimedIdentifier.
Я прав, думая? Разве я не пропустил какую-либо другую уязвимость?