Debido al modelo de seguridad de MOSS/WSS y a las personalizaciones que se realizan mediante el desarrollo de nuevos webparts, interfaces,.. podemos necesitar realizar operaciones que el usuario final no tiene permisos para realizar, por ejemplo, acceder al perfil de un usuario, agregar elementos a listas con un usuario lector, que cualquier usuario pueda activar features desde un webpart… (aunque en la mayoría de los casos, suele tratarse de operaciones más complejas).
Esta tarea, era más compleja en SharePoint 2003, pero ahora gracias al nuevo modelo de objetos y los métodos que ofrecen, podemos realizar una impersonación mediante la cual podremos ejecutar código que realice acciones para las cuales el usuario actual no tiene permisos. El modelo de objetos proporciona dos formas de realizar esta tarea:
· Utilizando la cuenta del sistema: ejecutaremos el código con los permisos que tiene la cuenta del sistema en el sitio (FullMask), de modo que podremos realizar todas las acciones.
· Utilizando los datos de otro usuario: ejecutaremos el código con los permisos que tiene la cuenta del usuario utilizado en el sitio.
A continuación veremos que se realiza esta tarea y algunos aspectos a tener en cuenta.
SPSecurity.RunWithElevatedPrivileges(delegate()
{
using (SPSite miSitio = new SPSite("http://urlServidor"))
{
miSitio.AllowUnsafeUpdates = true;
using (SPWeb miWeb = miSitio.OpenWeb())
{
miWeb.AllowUnsafeUpdates = true;
SPList miLista = miWeb.Lists["Pruebas"];
SPListItem elemento = miLista.Items.Add();
elemento["Title"] = "PRUEBA CON USUARIO LECTOR";
elemento.Update();
miweb.AllowUnsafeUpdates = false;
}
miSitio.AllowUnsafeUpdates = false;
}
});
En el caso de querer utilizar otro usuario, se puede realizar la impersonación de forma similar:
SPUser miUsuario = SPContext.Current.Web.AllUsers["miDominio\ccanov"];
SPSite sitioImpersonado = new SPSite("http://urlServidor", miUsuario.UserToken);
SPWeb webImpersonada = sitioImpersonado.OpenWeb();
En ambos casos, si se obtiene el usuario llamando al método CurrentUser del objeto SPWeb impersonado, se obtendrá el usuario con el que se ha impersonado, siendo en el primer “SHAREPOINT\SYSTEM” y en el segundo “miDominio\ccanov”, mientras que si se realiza la llamada al objeto del contexto SPContext.Current.Web.CurrentUser, el usuario será el que está accediendo realmente a la página.
Hay que realizar siempre el Dispose de los objetos que se han utilizado para la impersonación, ya sea mediante el uso de using (primer ejemplo) o mediante el uso del método Dispose (segundo ejemplo).
En el caso de tener que realizar modificaciones, ya sea de listas, elementos de listas, páginas,… hay que poner la propiedad AllowUnsafeUpdates a true, antes de realizar la acción, y ponerla a false después, para esto, es recomendable hacer uso de finally e introducir todo el código dentro de un try-catch, para evitar que esta propiedad se quede con el valor a true.