在企业环境中支持新的Web应用程序时,通常需要以特定用户身份登录才能诊断他们正在遇到的实际或已知问题。两个对立的问题,在这里适用:您如何使用哈希或加密密码支持Web应用程序?
最佳做法是使用散列或加密密码,不清晰的文本。有时,中间会有第三方SSO(单点登录)。无法检索用户的密码。除非用户提供(不鼓励),否则无法以该用户身份登录。
很多网络应用程序都有个性化和复杂的授权。不同的用户具有不同的权限(admin,manager,user)。有时用户只能看到他们的数据 - 他们的客户或任务。一些用户具有只读访问权限,而其他用户可以编辑。所以,每个用户对Web应用程序的看法都是独一无二的。
假设在企业环境中,去用户的办公桌或直接连接到他们的机器是不可行的。
你如何处理这种情况?
编辑:我想重申一下,在一个大型金融机构或典型的财富500强公司中,全国乃至全球都有数十万员工,一些IT部门的单纯开发人员无法能够直接访问用户的机器。其中一些是面向公众的网络应用程序(如网上银行和股票交易)。而且,其中很多是Intranet应用程序都依赖于Active Directory或SSO,这意味着许多应用程序的用户凭证都是相同的。我非常感谢你的建议;有些可能在其他类型的环境中非常有用。
这是不幸的:为什么要对用户造成不便,因为你在调试? – 2008-11-04 21:23:39
是的。如果可以“克隆”用户帐户并使用该帐户,最终用户可能不会感到不方便。这可能也可能不可行。此外,如果您可以使用'debuguser'帐户查看问题,那也可能更可取 - 但它可能无法重现。 – 2008-11-04 21:36:22