【发布时间】:2013-11-06 09:02:25
【问题描述】:
我一直在努力寻找问题的答案,但我什至在任何地方都没有看到有人问过我的问题。
我的问题是,我有一个网站,它需要 3 条信息才能登录并执行 90% 的功能、用户名/密码和安全问题的答案。用户将能够“注册设备”,因此不会询问安全问题。这不是最难的部分(我认为),我可以修改 ADFS 站点以轻松做到这一点,或者很多博客文章都这么说。
问题在于,在网站的某些部分,我们需要使用“带外”问题来要求额外的安全性。我们已经拥有与该服务供应商交互的所有代码,但是,我们希望使用 ADFS 或其他一些 IP/STS 来进行实际身份验证,这样它就与应用程序分离,其他应用程序可以使用相同的身份验证一块也是。
有没有人做过这样的事情,甚至有可能吗?我发现的所有内容都只显示了一次身份验证并使用了一个 STS。我发现一个小广告说您可以使用 wauth 参数来请求类型,但如果他们未能通过“增强”安全性的身份验证,那么 STS 会使我们不想要的整个令牌无效。我们还希望这个令牌在一段时间后自动失效。
【问题讨论】:
标签: c# asp.net-mvc-4 wif