Beschränken Sie die Anmelde-E-Mail mit Google OAuth2.0 auf den spezifischen Domänennamen

Ich kann nicht scheinen zu finden, eine Dokumentation zum beschränken der login in meine web-Anwendung (die verwendet OAuth2.0 und Google-APIs), um nur akzeptieren, Anforderungen für die Authentifizierung von Benutzern mit einer E-Mail an eine bestimmte domain-Namen oder die Domäne-Namen. Ich würde gerne auf die whitelist im Gegensatz zu blacklist.

Hat jemand Vorschläge, wie dies zu tun ist, die Dokumentation auf der offiziell anerkannten Methode, dies zu tun, oder eine einfache, sichere umgehen?

Für das Protokoll, ich weiß nicht, irgendwelche Informationen über den Benutzer, bis Sie versuchen, sich über Google OAuth-Authentifizierung. Alle, die ich zurück erhalten, ist der basic-user-info und E-Mail.

Kommentar zu dem Problem
Ich bin die Erforschung dieses auch. Ich habe eine app, die ich sein will, nur von Leuten, die ein Konto auf unserer google-apps-domain. Die google OpenID-Implementierung kann es sinnvoller sein, für uns beide... Kommentarautor: Aaron Bruce
Ich werde in diesem Blick. Danke. Kommentarautor: paradox870
Wie kann ich die Umsetzung der domain-Benutzer-Anmeldung mit google sdk und c#? Kommentarautor: user1021583
Bitte kann jemand Blick auf diese Frage stackoverflow.com/questions/34220051/... Kommentarautor:
Bitte ich habe oben ein Kopfgeld auf diese Frage, so kann jemand mir helfen Kommentarautor:

InformationsquelleAutor der Frage paradox870 | 2012-06-02

  1. 36

    Also ich habe eine Antwort für Sie. In der oauth-Anfrage können Sie hinzufügen "hd=domain.com" und es wird Schränken Sie die Authentifizierung für Benutzer aus dieser Domäne (ich weiß nicht, ob Sie können mehrere domains). Sie finden die hd-parameter dokumentiert hier

    Ich bin mit dem google-api-Bibliotheken von hier: http://code.google.com/p/google-api-php-client/wiki/OAuth2 so musste ich manuell Bearbeiten Sie die /auth/apiOAuth2.php Datei:

    public function createAuthUrl($scope) {
    $params = array(
        'response_type=code',
        'redirect_uri=' . urlencode($this->redirectUri),
        'client_id=' . urlencode($this->clientId),
        'scope=' . urlencode($scope),
        'access_type=' . urlencode($this->accessType),
        'approval_prompt=' . urlencode($this->approvalPrompt),
        'hd=domain.com'
    );

    if (isset($this->state)) {
        $params[] = 'state=' . urlencode($this->state);
    }
    $params = implode('&', $params);
    return self::OAUTH2_AUTH_URL . "?$params";
}

    Bearbeiten:
    Ich arbeite immer noch auf dieser app und fand diese, welche möglicherweise die richtige Antwort auf diese Frage. https://developers.google.com/google-apps/profiles/

    InformationsquelleAutor der Antwort Aaron Bruce

  2. 8

    Beim definieren von Ihrem provider, der pass in einer hash-am Ende mit der 'hd' - parameter. Lesen Sie, hier. https://developers.google.com/accounts/docs/OpenIDConnect#hd-param

    E. g., für config/Initialisierungen/entwickeln.rb

    config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}

    InformationsquelleAutor der Antwort Kosmonaut

  3. 2

    Client-Seite:

    Mithilfe der auth2 init-Funktion, die Sie übergeben können, die hosted_domain parameter zu beschränken, die Konten aufgeführt, auf die signin popup, um diesen passend zu Ihrem hosted_domain. Sie können dies in der Dokumentation hier: https://developers.google.com/identity/sign-in/web/reference

    Server-Seite:

    Sogar mit einem eingeschränkten client-seitige Liste, die Sie brauchen, um zu überprüfen, dass die id_token entspricht der gehosteten domain, die Sie angegeben. Für einige Implementierungen dies bedeutet die überprüfung der hd Attribut, das Sie von google erhalten Sie nach der überprüfung des Tokens.

    Vollständige Stack Beispiel:

    Web-Code:

    gapi.load('auth2', function () {
    //init auth2 with your hosted_domain
    //only matching accounts will show up in the list or be accepted
    var auth2 = gapi.auth2.init({
        client_id: "your-client-id.apps.googleusercontent.com",
        hosted_domain: 'your-special-domain.com'
    });

    //setup your signin button
    auth2.attachClickHandler(yourButtonElement, {});

    //when the current user changes
    auth2.currentUser.listen(function (user) {
        //if the user is signed in
        if (user && user.isSignedIn()) {
            //validate the token on your server,
            //your server will need to double check that the
            //`hd` matches your specified `hosted_domain`;
            validateTokenOnYourServer(user.getAuthResponse().id_token)
                .then(function () {
                    console.log('yay');
                })
                .catch(function (err) {
                    auth2.then(function() { auth2.signOut(); });
                });
        }
    });
});

    Server-Code (mit googles Node.js Bibliothek):

    Wenn Sie Sie nicht verwenden Node.js können Sie andere Beispiele hier: https://developers.google.com/identity/sign-in/web/backend-auth

    const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);

const acceptableISSs = new Set(
    ['accounts.google.com', 'https://accounts.google.com']
);

const validateToken = (token) => {
    return new Promise((resolve, reject) => {
        if (!token) {
            reject();
        }
        oauth.verifyIdToken(token, null, (err, ticket) => {
            if (err) {
                return reject(err);
            }
            const payload = ticket.getPayload();
            const tokenIsOK = payload &&
                  payload.aud === authData.web.client_id &&
                  new Date(payload.exp * 1000) > new Date() &&
                  acceptableISSs.has(payload.iss) &&
                  payload.hd === 'your-special-domain.com';
            return tokenIsOK ? resolve() : reject();
        });
    });
};

    InformationsquelleAutor der Antwort Jordon Biondo

  4. 1

    Hier ist, was ich Tat mit Reisepass node.js. profile ist der Benutzer, der versucht, um sich anzumelden.

    //passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login 
var domain = emailString.substr(emailString.length - yourDomain.length);

//I send the user back to the login screen if domain does not match 
if (domain != yourDomain)
   return done(err);

    Dann erstellen Sie einfach Logik zu suchen für mehrere domains statt nur einer. Ich glaube, diese Methode ist sicher, weil 1. das ' @ ' - symbol ist kein gültiges Zeichen in die erste oder zweite Teil eines E-Mail-Adresse. Ich konnte nicht trick die Funktion durch erstellen eines E-Mail-Adresse wie mike@[email protected] 2. In einem herkömmlichen login-system, das ich könnte, aber diese E-Mail-Adresse konnte nie gibt es in Google. Wenn es nicht ein gültiges Google-Konto, können Sie nicht anmelden.

    InformationsquelleAutor der Antwort mjoyce91

Schreibe einen Kommentar