我要求允许我们的内部支持用户冒充我们的客户用户。
我目前正在使用 IdentityServer4、隐式流和 OIDC 客户端。
目前找到的资源。
鉴于在线资源有限,是否有关于我可以/应该如何使用 IdentityServer4 实现模拟的任何建议?
问问题
4450 次
3 回答
3
这个怎么做
IdentityServer4 没有规定任何身份验证提供程序。它只是充当其他 OIDC 客户端的角色。这就是为什么您可以使用第三方登录提供商、本地帐户和其他任何东西的原因。
在 IdentityServer 中创建一个 ImpersonationController。确保只有您的管理员才能访问此页面。
[Authorize(Policy = "CanImpersonate")]
构建一个页面,您可以在其中输入管理员想要模拟的用户 ID。使用预期的用户 ID 发布该表单时,使用SignInManager<>该类登录当前用户。
如果这对您很重要,您甚至可以构建一个下拉列表,您想模拟哪个外部登录提供程序。使用ExternalLoginSignInAsync方法,否则使用普通SignInAsync(user, false)方法。
然后,您已经在 Identity Server 上以该用户身份登录。当您的客户端应用程序请求登录时,IdentityServer 会注意到您的“伪造”会话,并将立即使用您当前登录的帐户重定向回客户端。
您现在在客户端应用程序和 IdentityServer 上模拟该用户。
如果您在 IdentityServer 上注销,您将再次“升级”到您之前登录的帐户(如果仍然以不同的身份登录),或者需要再次以您的实际管理员帐户登录。
你需要注意什么
副作用
这显然是一个值得讨论的话题。我假设您要添加此功能,以便您可以重现用户问题,或以用户身份执行某些操作。
如果您在用户不知情的情况下执行此操作,请非常小心在模拟期间执行的任何操作的副作用。是否已发送电子邮件或类似通知。
走这条路会失去很多信任。
法律
这也是对隐私的担忧。谁可以访问详细信息。在您的平台上冒充用户时会显示哪些详细信息。
一个建议
不要冒充用户。
实施一种受控方式,让您的管理员可以执行所需的工作。然后你有一个一致的审计日志,无论登录用户对你的系统做什么,你可以确定是那个用户,而不是你的管理员冒充那个帐户。
于 2020-02-19T17:50:10.263 回答
0
可能不会尝试在核心 IdentityServer4 库中构建模拟功能。你真的只需要一个小的数据结构来保存你的模拟 UserId 和一个服务来检查它。这是您的应用程序应该围绕它设计的基础功能。
还要考虑,您可能需要即使您在模拟(例如,非模拟)仍能呈现自己的超级用户功能。
于 2017-08-07T19:36:24.073 回答
0
您可以实现 IResourceOwnerValidation 并以自己的方式验证您的支持用户。例如,为特定用户生成一个代码并将其提供给支持用户,然后在您的实现中也使用该代码检查您的密码。
于 2020-02-25T11:31:56.710 回答