특정 도메인 이름 또는 도메인 이름 집합에 대한 이메일이있는 사용자의 인증 요청 만 수락하도록 내 웹 애플리케이션 (OAuth2.0 및 Google API 사용)에 대한 로그인을 제한하는 방법에 대한 문서를 찾을 수없는 것 같습니다. 블랙리스트가 아닌 화이트리스트를 작성하고 싶습니다.
누구든지이를 수행하는 방법에 대한 제안, 공식적으로 승인 된 방법에 대한 문서 또는 쉽고 안전한 해결 방법이 있습니까?
기록을 위해 사용자가 Google의 OAuth 인증을 통해 로그인을 시도 할 때까지 사용자에 대한 정보를 알지 못합니다. 내가받는 것은 기본 사용자 정보와 이메일뿐입니다.
답변
그래서 나는 당신을위한 대답을 가지고 있습니다. oauth 요청에서 “hd = domain.com”을 추가하면 해당 도메인의 사용자로 인증이 제한됩니다 (여러 도메인을 수행 할 수 있는지 모르겠습니다). 여기에 설명 된 hd 매개 변수를 찾을 수 있습니다.
http://code.google.com/p/google-api-php-client/wiki/OAuth2 에서 Google API 라이브러리를 사용하고 있으므로 /auth/apiOAuth2.php 파일을 수동으로 편집해야했습니다. :
public function createAuthUrl($scope) {
$params = array(
'response_type=code',
'redirect_uri=' . urlencode($this->redirectUri),
'client_id=' . urlencode($this->clientId),
'scope=' . urlencode($scope),
'access_type=' . urlencode($this->accessType),
'approval_prompt=' . urlencode($this->approvalPrompt),
'hd=domain.com'
);
if (isset($this->state)) {
$params[] = 'state=' . urlencode($this->state);
}
$params = implode('&', $params);
return self::OAUTH2_AUTH_URL . "?$params";
}
편집 : 나는 여전히이 앱을 개발 중이며 이것을 발견했습니다.이 질문에 대한 더 정답 일 수 있습니다. https://developers.google.com/google-apps/profiles/
답변
고객 입장에서:
auth2init 함수를 사용하면 hosted_domain매개 변수를 전달 하여 로그인 팝업에 나열된 계정을 hosted_domain. https://developers.google.com/identity/sign-in/web/reference 의 문서에서이를 확인할 수 있습니다.
서버 측:
제한된 클라이언트 측 목록이 있더라도 id_token지정한 호스트 된 도메인과 일치 하는지 확인해야 합니다. 일부 구현의 경우 이는 hd토큰을 확인한 후 Google에서받은 속성을 확인하는 것을 의미 합니다.
전체 스택 예 :
웹 코드 :
gapi.load('auth2', function () {
// init auth2 with your hosted_domain
// only matching accounts will show up in the list or be accepted
var auth2 = gapi.auth2.init({
client_id: "your-client-id.apps.googleusercontent.com",
hosted_domain: 'your-special-domain.com'
});
// setup your signin button
auth2.attachClickHandler(yourButtonElement, {});
// when the current user changes
auth2.currentUser.listen(function (user) {
// if the user is signed in
if (user && user.isSignedIn()) {
// validate the token on your server,
// your server will need to double check that the
// `hd` matches your specified `hosted_domain`;
validateTokenOnYourServer(user.getAuthResponse().id_token)
.then(function () {
console.log('yay');
})
.catch(function (err) {
auth2.then(function() { auth2.signOut(); });
});
}
});
});
서버 코드 (googles Node.js 라이브러리 사용) :
Node.js를 사용하지 않는 경우 https://developers.google.com/identity/sign-in/web/backend-auth에서 다른 예제를 볼 수 있습니다.
const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);
const acceptableISSs = new Set(
['accounts.google.com', 'https://accounts.google.com']
);
const validateToken = (token) => {
return new Promise((resolve, reject) => {
if (!token) {
reject();
}
oauth.verifyIdToken(token, null, (err, ticket) => {
if (err) {
return reject(err);
}
const payload = ticket.getPayload();
const tokenIsOK = payload &&
payload.aud === authData.web.client_id &&
new Date(payload.exp * 1000) > new Date() &&
acceptableISSs.has(payload.iss) &&
payload.hd === 'your-special-domain.com';
return tokenIsOK ? resolve() : reject();
});
});
};
답변
공급자를 정의 할 때 끝에 ‘hd’매개 변수와 함께 해시를 전달하십시오. 여기에서 그것에 대해 읽을 수 있습니다. https://developers.google.com/accounts/docs/OpenIDConnect#hd-param
예 : config / initializers / devise.rb의 경우
config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}
답변
node.js에서 여권을 사용하여 수행 한 작업은 다음과 같습니다. profile로그인을 시도하는 사용자입니다.
//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login
var domain = emailString.substr(emailString.length - yourDomain.length);
//I send the user back to the login screen if domain does not match
if (domain != yourDomain)
return done(err);
그런 다음 하나가 아닌 여러 도메인을 찾는 논리를 만듭니다. 이 방법은 안전하다고 생각합니다. 1. ‘@’기호가 이메일 주소의 첫 번째 또는 두 번째 부분에서 유효한 문자가 아니기 때문입니다. mike@fake@google.com2 와 같은 이메일 주소를 만들어서 기능을 속일 수는 없었 습니다. 전통적인 로그인 시스템에서는 할 수 있었지만이 이메일 주소는 Google에 존재할 수 없었습니다. 유효한 Google 계정이 아닌 경우 로그인 할 수 없습니다.
