我们目前向公众发布了一个ASP.Net Web应用程序,该应用程序使用成员资格和提供程序功能,并让我们的用户分配“基本”角色。我们正在做的是开发一个管理站点,以便管理员(可能被分配一个“管理员”角色)能够登录管理站点,在那里他们可以访问“基本”中的用户列表作用。
从管理员网站,我们希望允许管理员点击任何“基本”用户并有效地登录该帐户(在此过程中加载用户的个人资料信息,就像“基本”时的情况一样)用户登录),同时仍然保持登录管理帐户。
有人可以建议一种方法来做上述事情吗?
任何帮助都将不胜感激。
谢谢, 布伦特
答案 0 :(得分:1)
好的,我们假设身份验证不是问题,例如你要么拥有加密密码,你可以使用加密密码来实现登录,或者使用其他用户进行身份验证的方法,而不是(不应该)拥有密码的另一个用户。
这很容易。
困难的部分是你绝对不能拥有2个主要/身份。例如Request.User,这是所有成员,角色和配置文件的工作原理。这根本不可能。
一种可能的解决方案是创建一个非常安全的引导页面,该页面只接受诸如用户ID之类的参数并且可以进行身份验证。
在您的管理页面中嵌入IFrame,将其发送到正确的网址,并在IFrame的上下文中以用户身份浏览,该ID不应与父级共享Cookie。
请注意,这只是我头脑中的解决方法,即使它可以解决您的问题,也肯定存在这种方法的问题。