Google OAuth2.0を使用したログインメールを特定のドメイン名に制限する
OAuth2.0とGoogle APIを使用するWebアプリケーションへのログインを制限して、特定のドメイン名または一連のドメイン名の電子メールを持つユーザーからの認証リクエストのみを受け入れる方法に関するドキュメントは見つかりません。ブラックリストではなくホワイトリストに登録したいと思います。
これを行う方法についての提案、公式に受け入れられている方法のドキュメント、または簡単で安全な回避策がありますか?
記録のために、ユーザーがGoogleのOAuth認証を介してログインを試みるまで、ユーザーに関する情報は知りません。私が受け取るのは基本的なユーザー情報とメールだけです。
だから私はあなたのために答えを持っています。 oauthリクエストでは、「hd = domain.com」を追加できます。これにより、認証がそのドメインのユーザーに制限されます(複数のドメインを実行できるかどうかわかりません)。文書化されたhdパラメーター ここ
ここからGoogle APIライブラリを使用しています: http://code.google.com/p/google-api-php-client/wiki/OAuth2 なので、/ authを手動で編集する必要がありましたこれに/apiOAuth2.phpファイル:
public function createAuthUrl($scope) {
$params = array(
'response_type=code',
'redirect_uri=' . urlencode($this->redirectUri),
'client_id=' . urlencode($this->clientId),
'scope=' . urlencode($scope),
'access_type=' . urlencode($this->accessType),
'approval_Prompt=' . urlencode($this->approvalPrompt),
'hd=domain.com'
);
if (isset($this->state)) {
$params[] = 'state=' . urlencode($this->state);
}
$params = implode('&', $params);
return self::OAUTH2_AUTH_URL . "?$params";
}
編集:私はまだこのアプリに取り組んでおり、これを見つけました。これはこの質問に対するより正しい答えかもしれません。 https://developers.google.com/google-apps/profiles/
プロバイダーを定義するときは、最後に「hd」パラメーターでハッシュを渡します。ここでそれを読むことができます。 https://developers.google.com/accounts/docs/OpenIDConnect#hd-param
例:config/initializers/devise.rb
config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}
クライアント側:
auth2 init関数を使用して、hosted_domainパラメーターを渡して、サインインポップアップにリストされているアカウントをhosted_domainに一致するアカウントに制限できます。次のドキュメントでこれを確認できます。 https://developers.google.com/identity/sign-in/web/reference
サーバ側:
クライアント側のリストが制限されている場合でも、id_tokenが指定したホストドメインと一致することを確認する必要があります。一部の実装では、これはトークンを検証した後にGoogleから受け取るhd属性をチェックすることを意味します。
完全なスタックの例:
Webコード:
gapi.load('auth2', function () {
// init auth2 with your hosted_domain
// only matching accounts will show up in the list or be accepted
var auth2 = gapi.auth2.init({
client_id: "your-client-id.apps.googleusercontent.com",
hosted_domain: 'your-special-domain.com'
});
// setup your signin button
auth2.attachClickHandler(yourButtonElement, {});
// when the current user changes
auth2.currentUser.listen(function (user) {
// if the user is signed in
if (user && user.isSignedIn()) {
// validate the token on your server,
// your server will need to double check that the
// `hd` matches your specified `hosted_domain`;
validateTokenOnYourServer(user.getAuthResponse().id_token)
.then(function () {
console.log('yay');
})
.catch(function (err) {
auth2.then(function() { auth2.signOut(); });
});
}
});
});
サーバーコード(googles Node.jsライブラリを使用):
Node.jsを使用していない場合は、他の例をご覧ください: https://developers.google.com/identity/sign-in/web/backend-auth
const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);
const acceptableISSs = new Set(
['accounts.google.com', 'https://accounts.google.com']
);
const validateToken = (token) => {
return new Promise((resolve, reject) => {
if (!token) {
reject();
}
oauth.verifyIdToken(token, null, (err, ticket) => {
if (err) {
return reject(err);
}
const payload = ticket.getPayload();
const tokenIsOK = payload &&
payload.aud === authData.web.client_id &&
new Date(payload.exp * 1000) > new Date() &&
acceptableISSs.has(payload.iss) &&
payload.hd === 'your-special-domain.com';
return tokenIsOK ? resolve() : reject();
});
});
};
これが、node.jsでパスポートを使用して行ったことです。 profileは、ログインを試行しているユーザーです。
//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login
var domain = emailString.substr(emailString.length - yourDomain.length);
//I send the user back to the login screen if domain does not match
if (domain != yourDomain)
return done(err);
次に、1つだけではなく複数のドメインを検索するロジックを作成します。この方法は安全だと思います。1。「@」記号は、メールアドレスの最初または2番目の部分では有効な文字ではありません。 mike@[email protected] 2のような電子メールアドレスを作成して、この機能をだますことはできませんでした。従来のログインシステムではできましたが、この電子メールアドレスがGoogleに存在することはありませんでした。有効なGoogleアカウントでない場合は、ログインできません。