在WCF中使用BasicHttpBinding和TransportWithMessageCredential进行用户授权

我目前有一个由TransportWithMessageCredential通过https保护的服务。这工作很棒!我现在需要为这个服务的一些操作添加一点粒度。

假设我有这个方法public IEnumerable<Project> GetProjects()，现在我需要添加一个额外的方法，它将投影限制为当前用户可以访问的项目。

使用如下代码:

var uid = System
        .ServiceModel
        .OperationContext
        .Current
        .IncomingMessageProperties
        .Security
        .ServiceSecurityContext
        .PrimaryIdentity;
var returnProjects = context.Projects.Where(p => p.ProjectManager.Equals(uid.Name));

会让我容易受到任何类型的攻击吗?

我认为这应该很好，因为WCF将首先击中我的自定义UserNamePasswordValidator并"验证"用户，然后我上面的代码将"授权"他们只获得他们的项目。我的想法有问题吗?