Пользовательская аутентификация - лучший способ олицетворения учетной записи пользователя?

Question

У меня есть специальный механизм аутентификации в приложении .NET, который хранит хэши паролей пользователей, а затем проверяет введенные пароли на соответствие этому хешу для предоставления билета аутентификации.

При хешировании паролей, очевидно, я не знаю пароли моих пользователей.

Для отладки и т. Д. Мне нужно иметь возможность выдавать себя за пользователей и входить в их учетную запись, но мне нужна система, позволяющая обойти тот факт, что у меня нет пароля.

Один из вариантов, который я рассмотрел, - это дополнительный тест на сбой аутентификации по мастер-паролю, хотя я считаю его немного слабым, поскольку, если мастер-пароль скомпрометирован, тогда все учетные записи доступны, если известен адрес электронной почты.

У кого-нибудь есть хорошее решение для этой проблемы?

Answer 1

Это явно косвенный ответ, но создание функциональных возможностей, позволяющих приложению фактически обойти процесс аутентификации, является рискованным подходом.Я бы посмотрел на то, какие именно процессы вы пытаетесь отлаживать, что касается конкретных учетных записей, которые помогают вам проверить это, а затем сосредоточится на решении этой проблемы.Возможно, вы решите эту проблему с помощью более надежного модульного тестирования, возможно, вам даже понадобятся тестовые учетные записи с одинаковыми ролями для репликации поведения.В любом случае, я бы избежал умышленного взлома вашей собственной схемы аутентификации!

Кстати, надеюсь, когда вы говорите «хранит хеши паролей пользователей», там тоже есть криптографически случайная соль.