[google-api] Google OAuth2.0으로 로그인 이메일을 특정 도메인 이름으로 제한

특정 도메인 이름 또는 도메인 이름 집합에 대한 이메일이있는 사용자의 인증 요청 만 수락하도록 내 웹 애플리케이션 (OAuth2.0 및 Google API 사용)에 대한 로그인을 제한하는 방법에 대한 문서를 찾을 수없는 것 같습니다. 블랙리스트가 아닌 화이트리스트를 작성하고 싶습니다.

누구든지이를 수행하는 방법에 대한 제안, 공식적으로 승인 된 방법에 대한 문서 또는 쉽고 안전한 해결 방법이 있습니까?

기록을 위해 사용자가 Google의 OAuth 인증을 통해 로그인을 시도 할 때까지 사용자에 대한 정보를 알지 못합니다. 내가받는 것은 기본 사용자 정보와 이메일뿐입니다.



답변

그래서 나는 당신을위한 대답을 가지고 있습니다. oauth 요청에서 “hd = domain.com”을 추가하면 해당 도메인의 사용자로 인증이 제한됩니다 (여러 도메인을 수행 할 수 있는지 모르겠습니다). 여기에 설명 된 hd 매개 변수를 찾을 수 있습니다.

http://code.google.com/p/google-api-php-client/wiki/OAuth2 에서 Google API 라이브러리를 사용하고 있으므로 /auth/apiOAuth2.php 파일을 수동으로 편집해야했습니다. :

public function createAuthUrl($scope) {
    $params = array(
        'response_type=code',
        'redirect_uri=' . urlencode($this->redirectUri),
        'client_id=' . urlencode($this->clientId),
        'scope=' . urlencode($scope),
        'access_type=' . urlencode($this->accessType),
        'approval_prompt=' . urlencode($this->approvalPrompt),
        'hd=domain.com'
    );

    if (isset($this->state)) {
        $params[] = 'state=' . urlencode($this->state);
    }
    $params = implode('&', $params);
    return self::OAUTH2_AUTH_URL . "?$params";
}

편집 : 나는 여전히이 앱을 개발 중이며 이것을 발견했습니다.이 질문에 대한 더 정답 일 수 있습니다. https://developers.google.com/google-apps/profiles/


답변

고객 입장에서:

auth2init 함수를 사용하면 hosted_domain매개 변수를 전달 하여 로그인 팝업에 나열된 계정을 hosted_domain. https://developers.google.com/identity/sign-in/web/reference 의 문서에서이를 확인할 수 있습니다.

서버 측:

제한된 클라이언트 측 목록이 있더라도 id_token지정한 호스트 된 도메인과 일치 하는지 확인해야 합니다. 일부 구현의 경우 이는 hd토큰을 확인한 후 Google에서받은 속성을 확인하는 것을 의미 합니다.

전체 스택 예 :

웹 코드 :

gapi.load('auth2', function () {
    // init auth2 with your hosted_domain
    // only matching accounts will show up in the list or be accepted
    var auth2 = gapi.auth2.init({
        client_id: "your-client-id.apps.googleusercontent.com",
        hosted_domain: 'your-special-domain.com'
    });

    // setup your signin button
    auth2.attachClickHandler(yourButtonElement, {});

    // when the current user changes
    auth2.currentUser.listen(function (user) {
        // if the user is signed in
        if (user && user.isSignedIn()) {
            // validate the token on your server,
            // your server will need to double check that the
            // `hd` matches your specified `hosted_domain`;
            validateTokenOnYourServer(user.getAuthResponse().id_token)
                .then(function () {
                    console.log('yay');
                })
                .catch(function (err) {
                    auth2.then(function() { auth2.signOut(); });
                });
        }
    });
});

서버 코드 (googles Node.js 라이브러리 사용) :

Node.js를 사용하지 않는 경우 https://developers.google.com/identity/sign-in/web/backend-auth에서 다른 예제를 볼 수 있습니다.

const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);

const acceptableISSs = new Set(
    ['accounts.google.com', 'https://accounts.google.com']
);

const validateToken = (token) => {
    return new Promise((resolve, reject) => {
        if (!token) {
            reject();
        }
        oauth.verifyIdToken(token, null, (err, ticket) => {
            if (err) {
                return reject(err);
            }
            const payload = ticket.getPayload();
            const tokenIsOK = payload &&
                  payload.aud === authData.web.client_id &&
                  new Date(payload.exp * 1000) > new Date() &&
                  acceptableISSs.has(payload.iss) &&
                  payload.hd === 'your-special-domain.com';
            return tokenIsOK ? resolve() : reject();
        });
    });
};


답변

공급자를 정의 할 때 끝에 ‘hd’매개 변수와 함께 해시를 전달하십시오. 여기에서 그것에 대해 읽을 수 있습니다. https://developers.google.com/accounts/docs/OpenIDConnect#hd-param

예 : config / initializers / devise.rb의 경우

config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}


답변

node.js에서 여권을 사용하여 수행 한 작업은 다음과 같습니다. profile로그인을 시도하는 사용자입니다.

//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login
var domain = emailString.substr(emailString.length - yourDomain.length);

//I send the user back to the login screen if domain does not match
if (domain != yourDomain)
   return done(err);

그런 다음 하나가 아닌 여러 도메인을 찾는 논리를 만듭니다. 이 방법은 안전하다고 생각합니다. 1. ‘@’기호가 이메일 주소의 첫 번째 또는 두 번째 부분에서 유효한 문자가 아니기 때문입니다. mike@fake@google.com2 와 같은 이메일 주소를 만들어서 기능을 속일 수는 없었 습니다. 전통적인 로그인 시스템에서는 할 수 있었지만이 이메일 주소는 Google에 존재할 수 없었습니다. 유효한 Google 계정이 아닌 경우 로그인 할 수 없습니다.


답변

2015 년부터 aaron-bruce 의 해결 방법 에서와 같이 라이브러리 소스를 편집 할 필요없이이를 설정 하는 기능 이 라이브러리에있었습니다.

URL을 생성하기 전에 setHostedDomainGoogle 클라이언트를 호출 하십시오.

$client->setHostedDomain("HOSTED DOMAIN")


답변