Non.
L'unicité n'a rien à voir avec le moment auquel on vérifie une identité.
Soit on a un identifiant unique par personne physique. Soit on en a pas.
Si jamais on fait autrement - par exemple en créant/attribuant nous mêmes cet identifiant unique comme tu le suggères, on va nécessairement devoir garantir l'unicité nous même et donc stocker un lien identité <=> identifiant unique qui, lorsque la BDD sera volée révèlera beaucoup de données.
L'identité doit être porteuse de l'identifiant unique par ce qu'en fait, l'identifiant unique EST l'identité sur la plateforme de vote. Rien d'autre n'est utilisé/enregistré.
Donc le champ "sub" d'OAuth 2.0 est parfait.
Ca c'est le dernier truc à vérifier.
Il faut d'avoir savoir si on peut techniquement valider une CNI avec juste une photo et si on a le droit de demander aux gens de l'uploader voir, pire, de la stocker d'une quelconque façon.
Par ce que pour la traiter il faudra la stocker, même temporairement.
Tu veux être responsable de la sécurisation d'un truc pariel ? Pas moi.
Il faut aussi s'assurer qu'une personne avec deux CNIs ne pas pas pouvoir tricher en changeant la date sur le scan.
Je pense que seul le gouvernement dispose des moyens nécessaires à la vérification de l'authenticité d'une CNI. Donc faire un générateur de CNI valide qui jouerait avec notre serveur serait trivial.
Bref, il y'a beaucoup de questions légales/techniques à étudier avant que ça soit une hypothèse crédible.
J'ai créé une spreadsheet :
Si les critères marqués avec une importance de 10 ne sont pas démontrés "ok", alors la solution ne peut pas être considérée comme viable et doit être uniquement conservée comme une hypothèse de secourt/de dernier recourt et on doit privilégier la mise en place/le test des autres solutions avant tout.