Какой самый простой / безопасный способ разрешить администраторам становиться другими пользователями?

Question

У меня есть панель управления, которая позволяет администраторам вводить определенные критерии поиска пользователя для модерации. Я почти боюсь признать это здесь из-за обратной реакции, которую я обязательно получу, но на этой странице администраторы могут искать пароли пользователей, чтобы они могли войти в них как модераторы. Поэтому, прежде чем порвать меня с новым, позвольте мне сказать, что я ПРОСТО ХЕШИЛ пароли всяких паролей с sha1 и уникальной солью!

Это, как говорится. Я хочу, чтобы администраторы могли «стать» пользователем или войти в систему как любой пользователь, которого они выбрали.

Я ищу самый простой и безопасный способ, как это сделать. Пожалуйста, дайте мне знать любую информацию, которая может вам понадобиться от меня, чтобы вы могли лучше ответить на мой вопрос.

Спасибо заранее.

Answer 1

Я сделал это, когда проектировал сайт для средней школы.Я позволил сотрудникам «прокси» войти в качестве другого пользователя.Однако они просто вводят имя пользователя и затем эмулируют сеанс для этого пользователя.Они никогда не получат доступ к паролю.

У меня был объект $USER и объект $SESSION.$USER хранит текущего активного пользователя, а $SESSION - фактического пользователя, вошедшего в систему.Обычно они были бы одинаковыми, но если бы пользователь был прокси-сервером в качестве другого пользователя, то $USER->username не будет равен $SESSION->username, и это позволило бы мне отобразить баннер с надписью «Вы являетесь прокси-пользователем как USER, чтобы возобновить работу».ваш сеанс, нажмите здесь "

Answer 2

Невозможно обойти любой ущерб, который администратор может сделать, выполнив вход в качестве другого пользователя. Другими словами, на техническом уровне это невозможно. Вы должны быть уверены, что доверяете всем своим администраторам достаточно, чтобы дать им эту власть.

Я предполагаю, что это тот тип безопасности, о котором вы говорите. Как на самом деле реализовать это поведение - это другой вопрос, и если вы это имели в виду, поправьте меня.