使用第三方身份验证的应用程序的密码？

Question

我有一个 ASP.NET MVC 应用程序，刚刚将 RPX 第三方联合身份系统集成到其中。 集成工作正常，但我在思考在 ASP.NET 级别如何处理它时遇到了一些困难。

由于身份是在外部处理的，因此我的应用程序不需要密码：我从不收到用户的密码，只收到他们的身份。 但是，ASP.NET 会员资格提供程序需要传递密码才能创建用户、登录用户等。

我一直在考虑在创建时使用 new Guid()，但是这需要调用数据库来检索用户的密码，然后才能通过会员资格提供商登录用户。 我可以为每个用户使用相同的密码，以便提前知道密码，但我担心这会使我的用户数据不安全。

我很想听听其他网站如何处理这个问题，例如 StackOverflow。

[另请参阅我的其他问题，有关此类应用程序的会员提供商。]

Answer 1

但我担心这会使我的用户数据不安全。

首先确保没有人可以使用用户名和密码直接针对您的数据库进行身份验证 - 我想这已经是这种情况，因为您正在使用 RPX 进行实际身份验证，并且只有在您已经完成身份验证后才调用 ASP.NET 成员资格提供程序建立了用户的身份。

然后，存储在您这边的密码就变得无关紧要，因为它不是秘密 - 如果我可以算出您这边某人的密码，就不会突然危及他们的数据，因为我仍然无法使用该信息登录。 用户的秘密由第三方提供商管理，而不是您。

因此，您不妨存储最方便的内容（即众所周知的虚拟值） - 您也可以关闭会员资格提供程序上的密码加密，以在服务器上取回一些周期。 加密/散列不用于验证任何人身份的值是没有意义的。

Answer 2

那么为什么要使用 ASP.NET 会员资格呢？ 它并不真正适合您正在做的事情，即第三方身份验证。 也许您可以查看 dotnetopenid 项目 和示例，因为它们有一个经典的 asp.您可以针对 mvc 修改哪个网站示例？ 他们有一个 wiki 也许是 google dotnetopenid mvc？