Алексей КМСУP.S. Но было весело ))То ли ещё будет... :-)
Только сейчас осенило, надо было не выходить из сайта sql.ru, когда Серж меня забанил

Алексей КЧитер!

Алексей КМСУIDKFA
Ну вот так тоже можно

А вообще хвост знатно налажал сегодня :) То ему нужно нативный User.IsInRole юзать, то штатные роли - пыль прошлых лет и в vnext их не будет (ему лично Сатья нашептал перед сном). То пишет про какие-то три строчки кода (кстати, где они?), с помощью которых всё будет в куках на клиенте сидеть. Но самое эпичное - это вот это

hVosttЛюбое секьюрное изменение пользователя должно сопровождаться перелогином.

Мне кажется уже за такое можно вышвыривать за шкирку на улицу, двор мести

Хвост, хвост... не знал бы тебя - назвал бы идиотом. Но так как знаю тебя не первый год, просто тихонечко посмеюсь в кустах :)

hVosttпосоветуй как быть
Я-то посоветую, т.к. знаю 100% ответ на твой кейс. Но ты опять будешь спорить и биться лбом об стену. Так ведь? )) Но я рискну в очередной 100500 раз...

hVosttнадо сделать возможность суперадмину заходить под любым пользователем, как это сделать?
Априори задача некорректна и противоречива. Не в коем случае нельзя делать такой беспощадный механизм. Админ не должен ни знать пароли, ни пытаться авторизоваться под чужим логином. Ни в каком виде и ни в каком случае. Ты сначала попробуй сформулировать бизнес-требование, исходя из которого такое могло понадобиться (а ты его и не сможешь сформулировать, 100% даю). А потом мы продолжим рассуждения.

hVosttну ладно-ладно, может ты знаешь как разрабы могли так налажать, сохраняя роли в куках, а? зачем-нафига это всё?
Дали возможность - это не значит, что это нужно всюду использовать. Куки могут быть вообще отключены. Да и вообще, это потенциальная дыра в безопасности, куку можно подделать - это даже студенты знают. Даже CookieProtection не поможет. Если роли никогда не меняются у пользователя, разве что для этого подойдет такой вариант. Но я бы даже в этом случае отказался от хранения ролей в куках, это просто бред какой-то.

hVosttбизнес-требование весьма простое. пользователь верещит, что у него что-то не работает, а у всех работает. к пользователю прийти нельзя, так как он не в соседнем офисе сидит. воспроизвести проблему не удаётся.
Открой для себя видео-конференции Lync и Skype, TeamViewer, Logmein, VNC, Join.me, WebEx Free. Да хотя бы Remote Desktop. Зачем ты отсутствие внятного взаимодействия с пользователем мешаешь с политикой безопасности?

hVosttс точки зрения секьюрити возможность входа админа строго регламентируется, пишется логи и аккуратно жирненьким пишется в базу. т.е. войти-то он может, но наделать незаметно делов не может. т.е. этот вопрос не рассматриваем.
А это вообще феерический бред, высосанный из пальца.

hVosttнужно сделать вход, подзабив на легитимность этого действия. такая задача. посоветуешь что, кроме того, что так нельзя (я эт итак знаю)?
Нет такой задачи. Есть идиотская хотелка, которая 100% никогда никем вменяемым не будет реализована. Даже думать не буду, как это можно было бы сделать.

hVosttт.е. админ может пользователю сменить пароль и потом зайти под ним. это нормально.
1. Смотря как реализовать. Сброс пароля может сопровождаться почтовым уведомлением, в котором будет временный пароль. Админ тут как бы идёт сразу лесом.
2. Сброс пароля - серьезное изменение, пользователь об этом узнает. А если ты там по-тихому будешь из-под него ходить, это так и останется в тайне.
3. Во многих системах админам вообще запрещено видеть то, что видят бизнес пользователи. Особенно это касается финансовых систем.

hVosttу гугла так можно, у яндекса можно... это значит безопасонсти не вредит нисколько?
Что можно у гугла и яндекса? Откуда информация?

hVosttчто ты несёшь? так и скажи, что не знаешь толком как.
Я несу то, что твоя хотелка изначально бредовая. Заходить админу в систему из-под юзера, чтобы что-то посмотреть, это просто верх идиотизма.

hVosttМСУЕсть идиотская хотелка, которая 100% никогда никем вменяемым не будет реализована.
владея риторикой под этот вывод можно подвести любую задачу и хотелку. не аргумент.
Комментарии были даны выше. Аргументы тоже.

hVosttСо входом суперадмина тоже самое, почтовое уведомление, отправка SMS, письмо президенту, загорается красная лампочка у начальства. Я уже сказал, секьюрный вопрос решён на уровне регламента, таким образом, что войти «по-тихому» не удастся.
Можешь внятно объяснить, зачем? Пока объяснил какую-то чушь про то, чтобы посмотреть, что там не работает у пользователя. Более идиотского кейса я не встречал.

hVosttМСУ2. Сброс пароля - серьезное изменение, пользователь об этом узнает. А если ты там по-тихому будешь из-под него ходить, это так и останется в тайне.
А надо без изменений. Надо зайти под пользователем. В тайне это не останется.
А не надо не под кем заходить. Заходи по собой, у тебя роль админ. Ты можешь видеть всё, что можно видеть в системе (если иное не оговорено). Заходить под кем-то нет необходимости, хотелка высосана из пальца.

hVosttМСУ3. Во многих системах админам вообще запрещено видеть то, что видят бизнес пользователи. Особенно это касается финансовых систем.
Речь не идёт о финансовой системе, пользователь пользуется приложением, совершает покупки, пишет публичные комментарии, личная переписка в системе исключена (только с тех. поддержкой). Единственный абсолютный секрет -- это пароль пользователя. Хранится только солёный хеш, и даже по почте пароль не отправляется при регистрации.
Не вижу тут необходимости заходить под кем-то. Это ты так кривизну системы решил сгладить? Заходи под собой и делай то, что можно делать.

hVosttМСУЧто можно у гугла и яндекса? Откуда информация?
У меня есть Google Apps и почта для домена Yandex. И там и там можно заводить почтовые ящики и аккаунты пользователей. Для гугла так вообще полноценные аккаунты заводятся: почта, ютуб, гугл+ и т.д. Я как админ могу в любой момент сменить пароль и зайти под чужим пользователем домена и посмотреть все его личные данные. Это вроде нормальная ситуация для аккаунта организации, так не считаешь?
У меня тоже есть Google Apps и почта для домена Yandex. Там нельзя зайти от учетки 1 под учеткой 2. Не фантазируй. Там можно сделать свои личные учетки и раздать их будущим владельцам. Почувствуй разницу "сменить пароль и зайти" и "зайти под от себя под чужим аккаунтом". Сменить (сбросить) пароль может любой админ. Но не заходить под собой от чужой учетки. Масло масляное.

hVosttМСУЯ несу то, что твоя хотелка изначально бредовая.
Я уже сказал, что такая задача есть. Какой вышины идиотизм не имеет значения. Вопрос не в том, чтобы ругаться с заказчиком, а в том, как лучше всего реализовать поставленную задачу.
Да мало ли, что у тебя есть. Задача априори невалидная.