我们有一个当前向公众发布的 ASP.Net Web 应用程序,它使用成员资格和提供者功能,并让我们的用户分配给“基本”角色。我们正在做的是开发一个管理站点,以便管理员(可能被分配一个“管理员”角色)能够登录到管理站点,在那里他们可以访问“基本”中的用户列表角色。
从管理站点,我们希望允许管理员单击任何“基本”用户并有效地登录到该帐户(在此过程中加载用户的个人资料信息,就像“基本”用户登录时的情况一样),同时仍保持登录到管理帐户。
任何人都可以建议一种方法来完成上述操作吗?
任何帮助,将不胜感激。
谢谢,布伦特
好的,让我们假设身份验证不是问题,例如,您要么有加密的密码,您可以随意修改以实现登录,或者使用其他一些方法来验证您没有(不应该)密码的另一个用户。
那是容易的部分。
困难的部分是你绝对不能有 2 个主体/身份。例如 Request.User,它是所有成员、角色和配置文件的作用。这简直是不可能的。
一种可能的解决方案是创建一个非常安全的引导页面,该页面仅接受用户 ID 等参数并且可以进行身份验证。
在您的管理页面中嵌入 IFrame,将其发送到正确的 url 并在 IFrame 的上下文中以用户身份浏览,该 IFrame 不应与父级共享 cookie。
请注意,这只是我想不到的解决方法,这种方法肯定会出现问题,即使它可以解决您的问题。