Приветствую
Есть активный STS с парольным endpoint и кастомным UserNameSecurityTokenHandler.

public class CustomUserNameSecurityTokenHandler : UserNameSecurityTokenHandler
{
    public override ClaimsIdentityCollection ValidateToken(System.IdentityModel.Tokens.SecurityToken token)
    {
        UserNameSecurityToken userNameToken = token as UserNameSecurityToken;
        CredentialStore.AuthenticateUser(userNameToken.username, userNameToken.Password);
   }
}

Все функционирует нормально, UserNameSecurityToken передается в хендлер с именем пользователя и паролем.
Возник вопрос: каким образом сделать разную валидацию для разных пользователей при условии что они входят на STS по парольному endpoint.

Пример

Есть два типа клиентов (пользователи и рабочие станции). Оба они за SecurityToken обращаются на один STS используя в качестве креденшалов u\p. Как определить на CustomUserNameSecurityTokenHandler кто конкретно обратился?

Судя по всему вопрос нетривиальный поскольку:

• Никакого дополнительного контекста в этом хендлере нет
  
• Из хендлера нет доступа к RequestSecurityToken где я могу добавить что-либо
  
• Нельзя сделать два UserNameSecurityTokenHandler

Я могу предположить, что сделать два CustomUserNameSecurityTokenHandler для разных TokenType все таки можно, но как это сделать совершенно не ясно
Есть идеи?

Здравствуйте, d1mmm, Вы писали:

D>Есть идеи?
Ну самое очевидное, что приходит на ум — сделать 2 endpoint с 2-я конфигурациями: в одной будет использоваться первый TokenHandler, а в другой — второй. В остальном они будут идентичны.
Соответственно, разные клиенты будут обращаться к разным Endpoint.

Не сильно масштабируемое решение (в смысле, если групп станет не 2, а 100 — идея выглядит не сильно привлекательной), но зато просто.

Михаил, добрый день
Дело в том, что количество endpoints никак не влияет на инфраструктуру хендлеров. Хендлеры ставятся на STS безотносительно поднятых endpoints.
Даже если будет два эндпоинта, все равно все запросы при логине будут сваливаться в один хендлер.
Или вы имеете в виду два отдельных STS по сути?

Здравствуйте, d1mmm, Вы писали:

D>Или вы имеете в виду два отдельных STS по сути?
Ну да.
Код самого сервиса будет единым. Будут только разные конфигурации (и различаться будут только в одном месте — там где формируется коллекция TokenHandlers, т.е. можно будет решить через наследование, чтобы не плодить копий кода).