我似乎无法找到有关如何限制登录我的Web应用程序(使用OAuth2.0和Google API)的任何文档,只接受来自用户的身份验证请求以及特定域名或域名集的电子邮件.我想白名单而不是黑名单.
有没有人有关于如何做到这一点的建议,关于官方接受的方法的文档,或者一个简单,安全的工作?
为了记录,在他们尝试通过Google的OAuth身份验证登录之前,我不知道有关该用户的任何信息.我收到的只是基本的用户信息和电子邮件.
我有一个使用Firebase数据库的小型个人Firebase webapp.我想从单个特定域向任何用户保护(锁定)此应用程序.我想通过Google进行身份验证.我不清楚如何配置规则来说"只有来自单个特定域(例如@foobar.com)的用户才能读写这个数据库".
(我看到的部分问题:使用足够的信息来引导数据库很难使这个用例工作.我需要在验证时知道用户的电子邮件,但auth对象不包含电子邮件.它似乎是鸡蛋问题,因为我需要编写引用数据库中数据的Firebase规则,但由于我的用户无法写入数据库,因此该数据尚不存在.)
如果auth有电子邮件,那么我可以轻松地编写规则.
提前致谢!
firebase firebase-security firebase-authentication firebase-realtime-database
我正在使用Firebase的简单登录电子邮件/密码身份验证功能.
我想通过锻造来管理用户只.我不希望通过客户端应用程序创建用户.
但是我仍然希望让他们登录/注销.
这可能吗?