¿Cómo uso ASP.NET Identity 2.0 para permitir que un usuario se haga pasar por otro usuario? (2)

Encontré una solución a este problema.

Básicamente, agrego un reclamo con el nombre de usuario del administrador, si este reclamo existe, sé que está ocurriendo la suplantación. Cuando el administrador desea detener la suplantación, el sistema recupera el nombre de usuario original de las reclamaciones, elimina las antiguas suplantaciones de identidad y crea una nueva cookie para el administrador:

[AuthenticateAdmin] // <- make sure this endpoint is only available to admins public async Task ImpersonateUserAsync(string userName) { var context = HttpContext.Current; var originalUsername = context.User.Identity.Name; var impersonatedUser = await userManager.FindByNameAsync(userName); var impersonatedIdentity = await userManager.CreateIdentityAsync(impersonatedUser, DefaultAuthenticationTypes.ApplicationCookie); impersonatedIdentity.AddClaim(new Claim("UserImpersonation", "true")); impersonatedIdentity.AddClaim(new Claim("OriginalUsername", originalUsername)); var authenticationManager = context.GetOwinContext().Authentication; authenticationManager.SignOut(DefaultAuthenticationTypes.ApplicationCookie); authenticationManager.SignIn(new AuthenticationProperties() { IsPersistent = false }, impersonatedIdentity); }

Más información está en mi blog: la suplantación del usuario con ASP.Net Identity 2 .

Suplantación de usuario en Asp.Net Core

Hasta julio de 2017: este tema es bastante popular, por lo que he investigado la suplantación de usuarios en Core y los principios son muy similares con API actualizada. Aquí es cómo suplantar:

[Authorize(Roles = "Admin"] // <-- Make sure only admins can access this public async Task<IActionResult> ImpersonateUser(String userId) { var currentUserId = User.GetUserId(); var impersonatedUser = await _userManager.FindByIdAsync(userId); var userPrincipal = await _signInManager.CreateUserPrincipalAsync(impersonatedUser); userPrincipal.Identities.First().AddClaim(new Claim("OriginalUserId", currentUserId)); userPrincipal.Identities.First().AddClaim(new Claim("IsImpersonating", "true")); // sign out the current user await _signInManager.SignOutAsync(); // If you use asp.net core 1.0 await HttpContext.Authentication.SignInAsync(cookieOptions.ApplicationCookieAuthenticationScheme, userPrincipal); // If you use asp.net core 2.0 (the line above is deprecated) await HttpContext.SignInAsync(cookieOptions.ApplicationCookieAuthenticationScheme, userPrincipal); return RedirectToAction("Index", "Home"); }

Esta es la forma de detener la suplantación:

[Authorize(Roles = "Admin"] // <-- Make sure only admins can access this public async Task<IActionResult> StopImpersonation() { if (!User.IsImpersonating()) { throw new Exception("You are not impersonating now. Can''t stop impersonation"); } var originalUserId = User.FindFirst("OriginalUserId").Value; var originalUser = await _userManager.FindByIdAsync(originalUserId); await _signInManager.SignOutAsync(); await _signInManager.SignInAsync(originalUser, isPersistent: true); return RedirectToAction("Index", "Home"); }

Explicación completa en mi blog: http://tech.trailmax.info/2017/07/user-impersonation-in-asp-net-core/ Ejemplo de código completo en GitHub: https://github.com/trailmax/AspNetCoreImpersonation