Использование SID учетной записи Windows в качестве маркера безопасности

Я создаю некоторые веб-службы, которые я хотел бы защитить с помощью специального метода (т. Е. НЕ WS-Secure и т. Д.). В настоящее время мой план состоит в том, чтобы иметь метод, который использует имя пользователя и пароль активного каталога (конечно, через HTTPS) для аутентификации пользователя. Затем этот метод получит SID учетной записи для этого пользователя, зашифрует его с помощью безопасного, но обратимого метода и вернет его в качестве токена безопасности.

После этого вызывающая сторона передаст зашифрованный токен в качестве параметра каждому веб-методу как средства проверки подлинности вызывающего абонента. Затем токен может быть расшифрован и превращен обратно в запись каталога (и тем самым подтвердить их подлинность) довольно тривиально. Это дает дополнительный бонус, позволяющий методам полностью идентифицировать аутентифицированного вызывающего.

Однако использование SID из учетной записи, которая обычно является только внутренней, меня немного беспокоит. Насколько это безопасно?

РЕДАКТИРОВАТЬ: Как я сказал ниже в комментарии, я понял, что токен должен быть "сессионным", то есть срок его действия должен истечь, чтобы уменьшить возможность повторного использования токена. Скорее всего, это можно сделать, сохранив сеанс клиента как часть токена.