গুগল OAuth2.0 এর সাথে লগইন ইমেলটিকে নির্দিষ্ট ডোমেন নামকে সীমাবদ্ধ করুন

Question 1

আমার ওয়েব অ্যাপ্লিকেশনটিতে (যেমন OAuth2.0 এবং গুগল API গুলি ব্যবহার করে) লগইনকে সীমাবদ্ধ রাখার জন্য কোনও নির্দিষ্ট ডোমেন নাম বা ডোমেন নামের সেটটিতে কেবল ইমেলযুক্ত ব্যবহারকারীদের কাছ থেকে প্রমাণীকরণের অনুরোধগুলি গ্রহণ করার জন্য আমি কোনও দলিল খুঁজে পাচ্ছি না। আমি ব্ল্যাকলিস্টের বিরোধী হিসাবে শ্বেতলিস্ট করতে চাই।

কীভাবে এটি করা যায়, আনুষ্ঠানিকভাবে গৃহীত পদ্ধতিটির নথিভুক্তি, বা আশেপাশে কোনও সহজ, সুরক্ষিত কাজ সম্পর্কে কী পরামর্শ রয়েছে?

রেকর্ডের জন্য, আমি ব্যবহারকারী সম্পর্কে কোনও তথ্য জানি না যতক্ষণ না তারা Google এর OAuth প্রমাণীকরণের মাধ্যমে লগ ইন করার চেষ্টা করে। আমি ফিরে পেয়েছি সমস্ত হ'ল প্রাথমিক ব্যবহারকারীর তথ্য এবং ইমেল।

Question 2

সুতরাং আমি আপনার জন্য একটি উত্তর পেয়েছি। ওউথ অনুরোধে আপনি "এইচডি = ডোমেইন.কম" যুক্ত করতে পারেন এবং এটি সেই ডোমেনের ব্যবহারকারীদের কাছে প্রমাণীকরণকে সীমাবদ্ধ করবে (আপনি একাধিক ডোমেন করতে পারেন কিনা তা আমি জানি না)। আপনি এখানে এইচডি প্যারামিটার নথিভুক্ত পেতে পারেন

আমি এখান থেকে গুগল এপিআই লাইব্রেরি ব্যবহার করছি: http://code.google.com/p/google-api-php-client/wiki/OAuth2 তাই আমাকে নিজে নিজে এই /auth/apiOAuth2.php ফাইলটি সম্পাদনা করতে হয়েছিল :

public function createAuthUrl($scope) {
    $params = array(
        'response_type=code',
        'redirect_uri=' . urlencode($this->redirectUri),
        'client_id=' . urlencode($this->clientId),
        'scope=' . urlencode($scope),
        'access_type=' . urlencode($this->accessType),
        'approval_prompt=' . urlencode($this->approvalPrompt),
        'hd=domain.com'
    );

    if (isset($this->state)) {
        $params[] = 'state=' . urlencode($this->state);
    }
    $params = implode('&', $params);
    return self::OAUTH2_AUTH_URL . "?$params";
}

সম্পাদনা: আমি এখনও এই অ্যাপটিতে কাজ করছি এবং এটি পেয়েছি, যা এই প্রশ্নের আরও সঠিক উত্তর হতে পারে। https://developers.google.com/google-apps/profiles/

Question 3

মক্কেলের পক্ষে:

auth2Init ফাংশনটি ব্যবহার করে , আপনি hosted_domainসাইন ইন পপআপে তালিকাবদ্ধ অ্যাকাউন্টগুলিকে আপনার সাথে মেলে এমনগুলি সীমাবদ্ধ করতে আপনি প্যারামিটারটি পাস করতে পারেন hosted_domain। আপনি এখানে ডকুমেন্টেশনে এটি দেখতে পারেন: https://developers.google.com/identity/sign-in/web/references

সার্ভার সাইড:

এমনকি একটি সীমাবদ্ধ ক্লায়েন্ট-সাইডের তালিকা সহ আপনাকে যাচাই করতে হবে যা id_tokenআপনি নির্দিষ্ট করেছেন এমন হোস্ট করা ডোমেনের সাথে মেলে। কিছু বাস্তবায়নের জন্য এর অর্থ hdটোকেন যাচাই করার পরে গুগল থেকে প্রাপ্ত বৈশিষ্ট্যটি পরীক্ষা করা ।

সম্পূর্ণ স্ট্যাক উদাহরণ:

ওয়েব কোড:

gapi.load('auth2', function () {
    // init auth2 with your hosted_domain
    // only matching accounts will show up in the list or be accepted
    var auth2 = gapi.auth2.init({
        client_id: "your-client-id.apps.googleusercontent.com",
        hosted_domain: 'your-special-domain.com'
    });

    // setup your signin button
    auth2.attachClickHandler(yourButtonElement, {});

    // when the current user changes
    auth2.currentUser.listen(function (user) {
        // if the user is signed in
        if (user && user.isSignedIn()) {
            // validate the token on your server,
            // your server will need to double check that the
            // `hd` matches your specified `hosted_domain`;
            validateTokenOnYourServer(user.getAuthResponse().id_token)
                .then(function () {
                    console.log('yay');
                })
                .catch(function (err) {
                    auth2.then(function() { auth2.signOut(); });
                });
        }
    });
});

সার্ভার কোড (গুগল নোড.জেএস লাইব্রেরি ব্যবহার করে):

আপনি যদি নোড.জেএস ব্যবহার না করে থাকেন তবে আপনি এখানে অন্যান্য উদাহরণগুলি দেখতে পারেন: https://developers.google.com

const GoogleAuth = require('google-auth-library');
const Auth = new GoogleAuth();
const authData = JSON.parse(fs.readFileSync(your_auth_creds_json_file));
const oauth = new Auth.OAuth2(authData.web.client_id, authData.web.client_secret);

const acceptableISSs = new Set(
    ['accounts.google.com', 'https://accounts.google.com']
);

const validateToken = (token) => {
    return new Promise((resolve, reject) => {
        if (!token) {
            reject();
        }
        oauth.verifyIdToken(token, null, (err, ticket) => {
            if (err) {
                return reject(err);
            }
            const payload = ticket.getPayload();
            const tokenIsOK = payload &&
                  payload.aud === authData.web.client_id &&
                  new Date(payload.exp * 1000) > new Date() &&
                  acceptableISSs.has(payload.iss) &&
                  payload.hd === 'your-special-domain.com';
            return tokenIsOK ? resolve() : reject();
        });
    });
};

Question 4

আপনার সরবরাহকারীর সংজ্ঞা দেওয়ার সময়, 'এইচডি' প্যারামিটার দিয়ে শেষে একটি হ্যাশে প্রবেশ করুন। আপনি এটি এখানে পড়তে পারেন। https://developers.google.com/accounts/docs/OpenIDConnect#hd-param

উদাহরণস্বরূপ, কনফিগারেশন / আরম্ভকারী / devise.rb এর জন্য

config.omniauth :google_oauth2, 'identifier', 'key', {hd: 'yourdomain.com'}

Question 5

নোড.জেজে পাসপোর্ট ব্যবহার করে যা করেছি তা এখানে's profileব্যবহারকারী হ'ল লগ ইন করার চেষ্টা করছে।

//passed, stringified email login
var emailString = String(profile.emails[0].value);
//the domain you want to whitelist
var yourDomain = '@google.com';
//check the x amount of characters including and after @ symbol of passed user login.
//This means '@google.com' must be the final set of characters in the attempted login 
var domain = emailString.substr(emailString.length - yourDomain.length);

//I send the user back to the login screen if domain does not match 
if (domain != yourDomain)
   return done(err);

তারপরে কেবল একটির পরিবর্তে একাধিক ডোমেন সন্ধান করার জন্য যুক্তি তৈরি করুন। আমি বিশ্বাস করি যে এই পদ্ধতিটি নিরাপদ কারণ ১. '@' প্রতীকটি কোনও ইমেল ঠিকানার প্রথম বা দ্বিতীয় অংশে একটি বৈধ অক্ষর নয়। আমি mike@fake@google.com2 এর মতো ইমেল ঠিকানা তৈরি করে ফাংশনটি চালিত করতে পারি না aতিহ্যগত লগইন সিস্টেমে আমি পারতাম, তবে এই ইমেল ঠিকানাটি গুগলে কখনও থাকতে পারে না। যদি এটি কোনও বৈধ গুগল অ্যাকাউন্ট না হয় তবে আপনি লগইন করতে পারবেন না।

Question 6

2015 যেহেতু একটি হয়েছে লাইব্রেরিতে ফাংশন হিসেবে সম্পাদনায় যান গ্রন্থাগার উৎস ছাড়াই এই সেট করতে কার্যসংক্রান্ত হারুন-ব্রুস দ্বারা

ইউআরএল তৈরি করার আগে কেবল setHostedDomainআপনার গুগল ক্লায়েন্টের বিরুদ্ধে কল করুন

$client->setHostedDomain("HOSTED DOMAIN")