Einschränken der Anmeldung zu bestimmten Domäne mithilfe von Knoten-Pass mit dem Google Auth

Ich bin der Implementierung von Google Auth auf einen internen Dienst zu arbeiten. Es ist ein JS-client-heavy-Anwendung, die mit einem Knoten-backend. Ich bin Wahl auf das Node-Modul Passport.js mit dem passport-google-oauth-Strategie.

Habe ich erfolgreich habe es funktioniert, aber eine Sache ist immer noch verwirrend mich. Ich möchte sicherstellen, dass meine Anwendung können nur Mitarbeiter des Unternehmens anmelden. Ich verstehe, dass Sie können einschränken der Anmeldung von domain mit einem parameter mit der Bezeichnung "hd", laut der offiziellen Dokumentation.

Erstens nicht, wo Sie senden, dass die parameter im Kontext Passport.js? Ich verstehe einfach nicht, wo im code setzen. Wenn es hilft, ich habe meist folgenden das Beispiel Pass-google-oauth bietet.

Zweitens, in der Theorie, wie das alles funktioniert? Ist es auf der Google-Seite, wo Sie lehnen jeden, der versucht, Zugriff auf die app mit einer domain außerhalb unseres Unternehmens. Oder ist es auf meiner Seite, dass ich brauche, um zu überprüfen, welche domain der Anwender bei der Anmeldung aus?

InformationsquelleAutor James Morris | 2014-04-14
  1. 16

    Hier ein Beispiel:

    //first make sure you have access to the proper scope on your login route
app.get("/login", passport.authenticate("google", {
    scope: ["profile", "email"]
}));

//set up your Google OAuth strategy elsewhere...
passport.use(new GoogleStrategy({
    clientID: "something",
    clientSecret: "something",
    callbackURL: "/something"
}, function(token, refreshToken, profile, done){
    if(profile._json.hd === "yourdomain.com"){
        //find or create user in database, etc
        User.find({ id: profile.id }).done(done);
    }else{
        //fail        
        done(new Error("Invalid host domain"));
    }
});

    Und für eine gute Maßnahme, hier ist eine voll variable dump von dem, was die "Profil" - variable aussieht. 

    { 
    provider: 'google',
    id: '12345678987654321',
    displayName: 'Don Draper',
    name: { familyName: 'Whitman', givenName: 'Richard' },
    emails: [ { value: '[email protected]' } ],
    _raw: 'a bunch of stringified json',
    _json: { 
        id: '123456789',
        email: '[email protected]',
        verified_email: true,
        name: 'Don Draper',
        given_name: 'Don',
        family_name: 'Draper',
        link: 'https://plus.google.com/123456789',
        picture: 'https://lh3.googleusercontent.com/XdUIqdMkCWA/AAAAAAAAAAI/AAAAAAAAAAA/123456789/photo.jpg',
        gender: 'male',
        locale: 'en',
        hd: 'yourdomain.com' 
    } 
}

    Hier sind einige detaillierte tutorials, das sollte die Antwort auf Ihre Frage über die Theorie hinter all dem. Sie wollen eine Kombination der beiden.

    1. Lokale Authentifizierung und grundlegende Einrichtung
    2. Google-Authentifizierung
    • profile._json.hd scheint nun profile._json.domain
    InformationsquelleAutor aembke
  2. 10

    Empfehle ich eine 2-Schritt-Ansatz, um dieses. Würde lieben zu hören feedback, wenn dies overcomplicating it.

    1) unterstützen der Benutzer bei der Auswahl der richtigen Konto

    passport.authenticate('google', {
    //Only show accounts that match the hosted domain.
    hd: 'example.com',
    //Ensure the user can always select an account when sent to Google.
    prompt: 'select_account',
    scope: [
        'https://www.googleapis.com/auth/plus.login',
        'https://www.googleapis.com/auth/plus.profile.emails.read'
    ]
})(req, res, next);

    2) Validierung Ihr Profil

    Wenn ein user an accounts.google.com zu authentifizieren, gibt es eine einfache hd=example.com query-parameter in der URL. Sie können diese entfernen und authentifizieren Sie sich mit jedem account (Passport wird erfolgreich überprüfen Sie die Oauth-code-unabhängig von der Domäne des ausgewählten Kontos), so ist es sollte nur berücksichtigt werden, Zucker für den Endverbraucher und nicht die Sicherheit für den server.

    Wenn Pass hat beheben, die Authentifizierung, überprüfen Sie die gehostete domain als in aembke Antwort:

    passport.use(new google_strategy({
    clientID: ...
    clientSecret: ...
    callbackURL: ...
}, function(token, tokenSecret, profile, done) {

    if (profile._json.domain !== 'example.com') {
        done(new Error("Wrong domain!"));
    } else {
        done(null, profile);
    }

}));
    • Dank Charlie! das klappt bei mir auch mit Pass-google-oauth2
    InformationsquelleAutor Charlie Schliesser
Schreibe einen Kommentar