跳到主内容

用户冒充

代入功能允许管理员临时以其他用户身份行事——这对于支持、测试权限和调试非常有用。

Casdoor支持两种方法:

  1. 基于会话 — 从“用户”页面一键登录(无需密码)。
  2. 主密码 — 任何用户均可使用组织范围的主密码登录。

两者提供的访问权限与被模拟用户完全相同。

基于会话的模拟

用户页面开始:每行都有一个模拟按钮。 点击它,即可将您的会话切换到该用户;界面和权限将与他们的完全一致。

进入模拟

您将停留在被冒充用户的上下文中,直到退出。 Casdoor会记录您正在冒充用户,以便恢复您的管理员会话。

Exiting

打开用户菜单(右上角)。 请选择退出冒充(而非注销),以返回您的管理员会话。

退出冒名

提示

仅管理员可进行冒名;普通用户看不到冒名按钮。

主密码

登录时也可进行冒充:设置一个组织主密码;管理员随后可使用主密码而非用户密码,以该组织内任何用户的名义登录。

行为

登录时,Casdoor会先检查组织的主密码,然后再检查用户的密码。 如果主密码匹配,则无需用户提供真实密码即可成功登录。

设置主密码

要配置此功能,请打开您的组织设置并找到主密码字段。 输入一个强密码并保存。 此后,在登录界面使用此密码,并配合该组织中的任何用户名,即可以该用户身份登录。

主密码

注意事项

请小心保管

主密码可访问您组织中的任何账户。 把它当作一把万能钥匙——只与值得信赖的管理员共享,安全地存储在密码管理器中,一旦怀疑其已被泄露,立即更换。

使用主密码

导航至您组织的登录页面,地址为 /login/<0>. 请输入目标用户的用户名和主密码,而非其个人密码。 Casdoor会将您认证为该用户,赋予您其精确的权限和对系统的查看权限。

提示

示例

对于名为“my-company”的组织,请访问 https://your-casdoor-domain.com/login/my-company,输入您想要冒充的用户名,并使用主密码。

何时使用模拟

当您需要以用户视角观察系统时,冒充身份便显得尤为重要。 支持团队经常利用它来重现已报告的问题——准确地看到用户所见,能大大加快调试速度。 测试权限配置同样受益于模拟身份功能,让您无需创建测试账户,即可验证不同角色的访问控制是否正常工作。

紧急情况有时需要在用户无法联系时立即访问其数据。 同样,当以该用户的上下文浏览系统时,调查安全问题或异常账户活动会变得更加有效。

安全注意事项

基于会话的模拟需要管理员权限,并会创建审计跟踪,记录是谁模拟了谁。 系统将这些会话与普通登录分开记录,以确保责任可追溯。

在基本审计日志中,主密码身份验证无法区分管理员冒充与普通登录,因为它采用的是标准的身份验证流程。 这使得基于会话的模拟在大多数场景中更可取。

两种方法均尊重多因素身份验证设置。 如果用户已启用MFA,即使在冒充情况下,您也需要完成这些验证步骤。

禁用主密码

要移除主密码选项,请在您的组织设置中清空“主密码”字段并保存。 这仅影响基于密码的模拟——基于会话的方法对管理员而言仍可使用,与主密码配置无关。

相关配置

组织可以为新创建的用户设置默认密码,该密码与用于冒充身份的主密码不同。 密码复杂度规则适用于所有密码,包括主密码,有助于在整个组织内维持安全标准。