Ограничить адрес электронной почты для входа с Google OAuth2.0 определенным доменным именем

Question 1

Кажется, я не могу найти никакой документации о том, как ограничить вход в мое веб-приложение (которое использует OAuth2.0 и API Google), чтобы принимать запросы аутентификации только от пользователей с электронной почтой на определенном доменном имени или наборе доменных имен. Я хотел бы внести в белый список, а не в черный список.

Есть ли у кого-нибудь предложения о том, как это сделать, есть документация по официально принятому способу сделать это или простой и безопасный способ решения проблемы?

Для записи: я не знаю никакой информации о пользователе, пока он не попытается войти в систему через аутентификацию Google OAuth. Все, что я получаю в ответ, - это основная информация о пользователе и электронная почта.

Question 2

Итак, у меня есть для вас ответ. В запросе oauth вы можете добавить «hd = domain.com», и это ограничит аутентификацию для пользователей из этого домена (я не знаю, можете ли вы использовать несколько доменов). Вы можете найти задокументированный параметр hd здесь

Я использую библиотеки api google отсюда: http://code.google.com/p/google-api-php-client/wiki/OAuth2, поэтому мне пришлось вручную отредактировать файл /auth/apiOAuth2.php на этот :

public function createAuthUrl($scope) {
    $params = array(
        'response_type=code',
        'redirect_uri=' . urlencode($this->redirectUri),
        'client_id=' . urlencode($this->clientId),
        'scope=' . urlencode($scope),
        'access_type=' . urlencode($this->accessType),
        'approval_prompt=' . urlencode($this->approvalPrompt),
        'hd=domain.com'
    );

    if (isset($this->state)) {
        $params[] = 'state=' . urlencode($this->state);
    }
    $params = implode('&', $params);
    return self::OAUTH2_AUTH_URL . "?$params";
}

Изменить: я все еще работаю над этим приложением и нашел это, что может быть более правильным ответом на этот вопрос. https://developers.google.com/google-apps/profiles/

Question 3

Сторона клиента:

Используя auth2функцию init, вы можете передать hosted_domainпараметр, чтобы ограничить учетные записи, перечисленные во всплывающем окне входа, теми, которые соответствуют вашему hosted_domain. Вы можете увидеть это в документации здесь: https://developers.google.com/identity/sign-in/web/reference

На стороне сервера:

Даже с ограниченным списком на стороне клиента вам нужно будет убедиться, что он id_tokenсоответствует указанному размещенному домену. Для некоторых реализаций это означает проверку hdатрибута, который вы получаете от Google после проверки токена.

Пример полного стека:

Веб-код:

gapi.load('auth2', function () {
    // init auth2 with your hosted_domain
    // only matching accounts will show up in the list or be accepted
    var auth2 = gapi.auth2.init({
        client_id: "your-client-id.apps.googleusercontent.com",
        hosted_domain: 'your-special-domain.com'
    });

    // setup your signin button
    auth2.attachClickHandler(yourButtonElement, {});

    // when the current user changes
    auth2.currentUser.listen(function (user) {
        // if the user is signed in
        if (user && user.isSignedIn()) {
            // validate the token on your server,
            // your server will need to double check that the
            // `hd` matches your specified `hosted_domain`;
            validateTokenOnYourServer(user.getAuthResponse().id_token)
                .then(function () {
                    console.log('yay');
                })
                .catch(function (err) {
                    auth2.then(function() { auth2.signOut(); });
                });
        }
    });
});

Код сервера (с использованием библиотеки googles Node.js):

Если вы не используете Node.js, вы можете просмотреть другие примеры здесь: https://developers.google.com/identity/sign-in/web/backend-auth

const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);

const acceptableISSs = new Set(
    ['accounts.google.com', 'https://accounts.google.com']
);

const validateToken = (token) => {
    return new Promise((resolve, reject) => {
        if (!token) {
            reject();
        }
        oauth.verifyIdToken(token, null, (err, ticket) => {
            if (err) {
                return reject(err);
            }
            const payload = ticket.getPayload();
            const tokenIsOK = payload &&
                  payload.aud === authData.web.client_id &&
                  new Date(payload.exp * 1000) > new Date() &&
                  acceptableISSs.has(payload.iss) &&
                  payload.hd === 'your-special-domain.com';
            return tokenIsOK ? resolve() : reject();
        });
    });
};

Question 4

При определении вашего провайдера передайте хэш в конце с параметром hd. Вы можете прочитать об этом здесь. https://developers.google.com/accounts/docs/OpenIDConnect#hd-param

Например, для config / initializers / devise.rb

config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}

Question 5

Вот что я сделал с помощью паспорта в node.js. profileпользователь пытается войти в систему.

//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login 
var domain = emailString.substr(emailString.length - yourDomain.length);

//I send the user back to the login screen if domain does not match 
if (domain != yourDomain)
   return done(err);

Затем просто создайте логику для поиска нескольких доменов вместо одного. Я считаю, что этот метод безопасен, потому что 1. символ «@» не является допустимым символом в первой или второй части адреса электронной почты. Я не мог обмануть эту функцию, создав адрес электронной почты, например mike@fake@google.com2. В традиционной системе входа я мог, но этот адрес электронной почты никогда не мог существовать в Google. Если это недействительная учетная запись Google, вы не сможете войти в систему.

Question 6

С 2015 года в библиотеке есть функция, позволяющая установить это без необходимости редактировать исходный код библиотеки, как в обходном пути от aaron-bruce

Перед созданием URL просто позвоните setHostedDomainсвоему клиенту Google

$client->setHostedDomain("HOSTED DOMAIN")

Answer 1

Кажется, я не могу найти никакой документации о том, как ограничить вход в мое веб-приложение (которое использует OAuth2.0 и API Google), чтобы принимать запросы аутентификации только от пользователей с электронной почтой на определенном доменном имени или наборе доменных имен. Я хотел бы внести в белый список, а не в черный список.

Есть ли у кого-нибудь предложения о том, как это сделать, есть документация по официально принятому способу сделать это или простой и безопасный способ решения проблемы?

Для записи: я не знаю никакой информации о пользователе, пока он не попытается войти в систему через аутентификацию Google OAuth. Все, что я получаю в ответ, - это основная информация о пользователе и электронная почта.

Answer 2

3

Я тоже исследую это. У меня есть приложение, к которому я хочу, чтобы к нему могли обращаться только люди, у которых есть учетная запись в наших приложениях Google для бизнеса. Реализация Google OpenID может быть более подходящей для нас обоих ...

Аарон Брюс

Answer 3

1

Как я могу реализовать вход пользователя домена с помощью google sdk и c #?

user1021583

Answer 4

1

Пожалуйста, у меня есть награда за этот вопрос, так что может кто-нибудь мне помочь?

Answer 5

42

Итак, у меня есть для вас ответ. В запросе oauth вы можете добавить «hd = domain.com», и это ограничит аутентификацию для пользователей из этого домена (я не знаю, можете ли вы использовать несколько доменов). Вы можете найти задокументированный параметр hd здесь

Я использую библиотеки api google отсюда: http://code.google.com/p/google-api-php-client/wiki/OAuth2, поэтому мне пришлось вручную отредактировать файл /auth/apiOAuth2.php на этот :

public function createAuthUrl($scope) {
    $params = array(
        'response_type=code',
        'redirect_uri=' . urlencode($this->redirectUri),
        'client_id=' . urlencode($this->clientId),
        'scope=' . urlencode($scope),
        'access_type=' . urlencode($this->accessType),
        'approval_prompt=' . urlencode($this->approvalPrompt),
        'hd=domain.com'
    );

    if (isset($this->state)) {
        $params[] = 'state=' . urlencode($this->state);
    }
    $params = implode('&', $params);
    return self::OAUTH2_AUTH_URL . "?$params";
}

Изменить: я все еще работаю над этим приложением и нашел это, что может быть более правильным ответом на этот вопрос. https://developers.google.com/google-apps/profiles/

Аарон Брюс
источник

Мне не было известно об этом параметре, можете ли вы дать ссылку на то, где вы узнали об этом?

Джейсон Холл,

К сожалению, мне пришлось получить информацию от своего коллеги, я не нашел ее нигде в документации Google. Мой коллега думает, что нашел ссылку в спецификации OpenID, опробовал ее здесь, в спецификации OpenAuth, и, похоже, это сработало. Полагаю, используйте с осторожностью, поскольку это, похоже, недокументированная функция.

Аарон Брюс,

31

Важное примечание: даже если вы указываете hdпараметр в createAuthUrlфункции, вам все равно необходимо убедиться, что пользователь входит в систему с адресом электронной почты вашего домена. Изменить параметр ссылки очень просто, чтобы разрешить все адреса электронной почты и впоследствии получить доступ к вашему приложению.

VictorKilo

1

Документацию Google по hdиспользованию параметров см. На developers.google.com/identity/work/it-apps. Ссылку на hdпараметр URI можно найти на developers.google.com/identity/protocols/… В синопсисе hdпараметр должен быть рассматривается как фильтр отображения на основе домена для стороны Google Auth, но все же должен быть проверен на вашей стороне.

Уилл Б.

2

Отлично! В настоящее время в hdпараметре я могу ограничить только один домен. Что делать, если я хочу ограничить два или три домена?

Джей Патель

Answer 6

Мне не было известно об этом параметре, можете ли вы дать ссылку на то, где вы узнали об этом?

Джейсон Холл,

Answer 7

К сожалению, мне пришлось получить информацию от своего коллеги, я не нашел ее нигде в документации Google. Мой коллега думает, что нашел ссылку в спецификации OpenID, опробовал ее здесь, в спецификации OpenAuth, и, похоже, это сработало. Полагаю, используйте с осторожностью, поскольку это, похоже, недокументированная функция.

Аарон Брюс,

Answer 8

31

Важное примечание: даже если вы указываете hdпараметр в createAuthUrlфункции, вам все равно необходимо убедиться, что пользователь входит в систему с адресом электронной почты вашего домена. Изменить параметр ссылки очень просто, чтобы разрешить все адреса электронной почты и впоследствии получить доступ к вашему приложению.

VictorKilo

Answer 9

1

Документацию Google по hdиспользованию параметров см. На developers.google.com/identity/work/it-apps. Ссылку на hdпараметр URI можно найти на developers.google.com/identity/protocols/… В синопсисе hdпараметр должен быть рассматривается как фильтр отображения на основе домена для стороны Google Auth, но все же должен быть проверен на вашей стороне.

Уилл Б.

Answer 10

2

Отлично! В настоящее время в hdпараметре я могу ограничить только один домен. Что делать, если я хочу ограничить два или три домена?

Джей Патель

Answer 11

Сторона клиента:

Используя auth2функцию init, вы можете передать hosted_domainпараметр, чтобы ограничить учетные записи, перечисленные во всплывающем окне входа, теми, которые соответствуют вашему hosted_domain. Вы можете увидеть это в документации здесь: https://developers.google.com/identity/sign-in/web/reference

На стороне сервера:

Даже с ограниченным списком на стороне клиента вам нужно будет убедиться, что он id_tokenсоответствует указанному размещенному домену. Для некоторых реализаций это означает проверку hdатрибута, который вы получаете от Google после проверки токена.

Пример полного стека:

Веб-код:

gapi.load('auth2', function () {
    // init auth2 with your hosted_domain
    // only matching accounts will show up in the list or be accepted
    var auth2 = gapi.auth2.init({
        client_id: "your-client-id.apps.googleusercontent.com",
        hosted_domain: 'your-special-domain.com'
    });

    // setup your signin button
    auth2.attachClickHandler(yourButtonElement, {});

    // when the current user changes
    auth2.currentUser.listen(function (user) {
        // if the user is signed in
        if (user && user.isSignedIn()) {
            // validate the token on your server,
            // your server will need to double check that the
            // `hd` matches your specified `hosted_domain`;
            validateTokenOnYourServer(user.getAuthResponse().id_token)
                .then(function () {
                    console.log('yay');
                })
                .catch(function (err) {
                    auth2.then(function() { auth2.signOut(); });
                });
        }
    });
});

Код сервера (с использованием библиотеки googles Node.js):

Если вы не используете Node.js, вы можете просмотреть другие примеры здесь: https://developers.google.com/identity/sign-in/web/backend-auth

const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);

const acceptableISSs = new Set(
    ['accounts.google.com', 'https://accounts.google.com']
);

const validateToken = (token) => {
    return new Promise((resolve, reject) => {
        if (!token) {
            reject();
        }
        oauth.verifyIdToken(token, null, (err, ticket) => {
            if (err) {
                return reject(err);
            }
            const payload = ticket.getPayload();
            const tokenIsOK = payload &&
                  payload.aud === authData.web.client_id &&
                  new Date(payload.exp * 1000) > new Date() &&
                  acceptableISSs.has(payload.iss) &&
                  payload.hd === 'your-special-domain.com';
            return tokenIsOK ? resolve() : reject();
        });
    });
};

Answer 12

9

При определении вашего провайдера передайте хэш в конце с параметром hd. Вы можете прочитать об этом здесь. https://developers.google.com/accounts/docs/OpenIDConnect#hd-param

Например, для config / initializers / devise.rb

config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}

Космонавт
источник

1

Это можно легко обойти, предоставив доступ для входа в систему с другими доменами. Это будет работать только для ограничения доступных учетных записей, отображаемых пользователю.

homaxto

Answer 13

1

Это можно легко обойти, предоставив доступ для входа в систему с другими доменами. Это будет работать только для ограничения доступных учетных записей, отображаемых пользователю.

homaxto

Answer 14

Вот что я сделал с помощью паспорта в node.js. profileпользователь пытается войти в систему.

//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login 
var domain = emailString.substr(emailString.length - yourDomain.length);

//I send the user back to the login screen if domain does not match 
if (domain != yourDomain)
   return done(err);

Затем просто создайте логику для поиска нескольких доменов вместо одного. Я считаю, что этот метод безопасен, потому что 1. символ «@» не является допустимым символом в первой или второй части адреса электронной почты. Я не мог обмануть эту функцию, создав адрес электронной почты, например mike@fake@google.com2. В традиционной системе входа я мог, но этот адрес электронной почты никогда не мог существовать в Google. Если это недействительная учетная запись Google, вы не сможете войти в систему.

Answer 15

С 2015 года в библиотеке есть функция, позволяющая установить это без необходимости редактировать исходный код библиотеки, как в обходном пути от aaron-bruce

Перед созданием URL просто позвоните setHostedDomainсвоему клиенту Google

$client->setHostedDomain("HOSTED DOMAIN")

Ограничить адрес электронной почты для входа с Google OAuth2.0 определенным доменным именем

Ответы:

Сторона клиента:

На стороне сервера:

Пример полного стека:

Веб-код:

Код сервера (с использованием библиотеки googles Node.js):