관리자가 검토 목적으로 사용자에 대한 특정 검색 기준을 입력 할 수있는 제어판이 있습니다. 나는 반격을함으로써이 사실을 인정하는 것을 거의 두려워한다. 물론이 페이지에서 관리자는 사용자 암호를 검색 할 수 있으므로 검토 목적으로 로그인 할 수있다. 그래서 당신이 나에게 새 것을 찢기 전에, 내가 단지 sha1와 유일한 소금으로 모든 사람의 암호를 해싱한다고 말하게 해주세요!관리자가 다른 사용자가 될 수있는 가장 쉽고 안전한 방법은 무엇입니까
그렇습니다. 나는 관리자가 그들이 선택한 어떤 사용자처럼 "사용자가 될 수 있거나"로그인 할 수있게하고 싶다.
나는 이것을하는 방법에 관한 가장 안전한 방법을 찾고있다. 제 질문에 더 잘 대답 할 수 있도록 저에게 필요한 정보를 알려주십시오.
미리 감사드립니다.
나는 고등학교 사이트를 디자인했을 때 이것을했습니다. 직원들이 다른 사용자로 "프록시"할 수있게했습니다. 그러나 사용자 이름을 입력하면 해당 사용자의 세션을 에뮬레이션합니다. 그들은 언제든지 암호에 액세스하지 않습니다.
나는 $USER 개체와 $SESSION 개체를가집니다. $USER에는 현재 활성 사용자가 저장되고 $SESSION에는 실제 로그인 한 사용자가 저장됩니다. 일반적으로 그들은 동일하지만 사용자가 다른 사용자로 프록시 한 경우 $USER->username은 $SESSION->username과 같지 않습니다. 그러면 사용자는 "사용자가 프록시로 작업하여 세션을 다시 시작합니다."라는 배너를 표시 할 수 있습니다. 여기 "
... 그리고 시나리오를 탐지 할 수 있으면 발생률을 기록 할 수 있으므로 가장 (impersonation)을 추적 할 수 있습니다. 잘 했어. –
이것은 내가 생각한 것입니다. – LightningWrist
나는이 개념을 완전히 이해하고 있지만이 구조를 현명하게 다루는 방법에 대해서는 확실하지 않다. 사용자 이름으로 입력 상자에 로그인하고 그냥 제출하고 세션 ID를 전환 할 관리자가있는 경우에만 특별 페이지를 만들 것을 제안 하시겠습니까? – LightningWrist
관리자가 다른 사용자로 로그인했을 때 일어날 수있는 손상을 피할 방법이 없습니다. 즉, 기술적 인 측면에서 이것은 실현 가능하지 않다. 당신은 그들에게이 힘을 줄만큼 당신의 모든 관리자를 신뢰할 수 있어야합니다.
나는 이것이 당신이 말하는 보안 종류라고 가정하고 있습니다. 이 동작을 실제로 구현하는 방법은 다른 질문이며, 그것이 의미하는 바라면 제게 정정하십시오.
네, 어떻게 할 수 있을까요? – LightningWrist
좋아, 나는 개인적으로 webdestroya의 제안으로 갈 것이다. –
나는 이것을 '나쁜 아이디어'로 표시하고 싶습니다. 그러나 그것은 저에게서 얻을 수있는 유일한 슬픔입니다. :-) – CanSpice
관리자는 * 사용자 *이거나 * 사용자와 동일한 역할 *이어야합니까? – Sampson
admin에게 사용자 비밀번호에 대한 액세스 권한을 부여하는 대신 관리자가 사용자 권한을 시뮬레이트하도록 허용하는 권한 시스템을 사용하십시오. 이것이 phpBB가하는 일이며, 꽤 멋지다고 생각합니다. – BoltClock