Ограничить вход в учетную запись Google для указанного домена Apps
https://stackoverflow.com/questions/3669397
-
01-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Как я могу разрешить пользователям входить в мое веб-приложение со своей учетной записью Google и проверять, что они вошли в систему с определенного домена Google Apps?
Делает ли HD параметр в службу авторизации Google убедитесь, что для входа в систему можно использовать только выбранный домен?
Или я могу получить электронное письмо вошедшего в систему пользователя и убедиться, что оно заканчивается на "@domain.com"?Это не кажется такой уж хорошей идеей.
После входа в систему мне также нужно получить доступ к контактам Google пользователей, что, согласно документации, требует Аутентификация через прокси-сервер AuthSub.
Решение
Взгляните на документы OpenID, предложенные другими.Короче говоря, вам нужно перенаправить пользователя на пользовательский URL-адрес для входа в систему, основанный на его доменном имени, т. е.вам нужно узнать их доменное имя перед перенаправлением, т.е.ваш параметр hd, который действительно заставляет входить в указанный домен
Это также необходимо для поддержки единого входа в домены Google Apps, где аутентификацией пользователя занимается не Google, а сторонний сервис.
Убедитесь, что вы проверяете поставщика OpenID, а не только доменное имя адреса электронной почты, как только получите информацию об авторизации.
Другие советы
Вы можете использовать конечные точки OpenID для доменов Google Apps, как описано здесь: http://groups.google.com/group/google-federated-login-api/web/openid-discovery-for-hosted-domains
Однако в зависимости от вашей библиотеки OpenID вы можете / не сможете ее использовать.Например, openid4java его пока не поддерживает
Кажется, я могу использовать Гибридный протокол OpenID + OAuth как идентифицировать пользователя, так и получить токен доступа к API данных, как описано в это сообщение в блоге.
Редактировать: обновлена мертвая ссылка на запись в блоге live.
Видишь этот вопрос для получения информации о том, как получить электронную почту пользователя с помощью OpenID.Думаю, тогда я смогу убедиться, что оно заканчивается правильным доменным именем.
