На нашем сайте администраторы должны иметь возможность просматривать сайт как пользователя (клиента).Я планировал использовать для этого Auth0 и просто заметил, что их функция олицетворения устарела.
Я мог бы принудительно установить флаг входа в Redux, чтобы администратор мог просматривать его как пользователя, однако для получения любых данных пользователяиз API я беру идентификатор пользователя с токена доступа, сгенерированного Auth0 во время входа в систему.Таким образом, API будет получать данные только от текущего авторизованного токена доступа пользователя.
Кто-нибудь знает какие-либо способы выдать себя за пользователя, предоставившего это?Я думаю, что ввел ограничение на мой API, анализируя идентификатор пользователя из токена доступа, чтобы получить какие-либо данные этого пользователя, исправьте меня, если я ошибаюсь.
Единственный способ, о котором я могу думать, этоесли администратор "просматривает как" пользователя, он может передать идентификатор пользователя в вызове API.И в контроллере я мог бы проверить, что поле идентификатора пользователя существует, и использовать его вместо текущего зарегистрированного пользователя, но я не думаю, что передача идентификаторов пользователя - хорошая идея.Возможно, я мог бы добавить промежуточное программное обеспечение для каждого запроса, и если этот идентификатор пользователя существует в вызове API, я мог бы проверить роль этого пользователя, чтобы убедиться, что это администратор, который подтвердит запрос.
Что вы думаете?Любые другие идеи / критические замечания по этому методу?
Спасибо !!