我似乎无法找到有关如何限制登录我的Web应用程序(使用OAuth2.0和Google API)的任何文档,只接受来自用户的身份验证请求以及特定域名或域名集的电子邮件.我想白名单而不是黑名单.
有没有人有关于如何做到这一点的建议,关于官方接受的方法的文档,或者一个简单,安全的工作?
为了记录,在他们尝试通过Google的OAuth身份验证登录之前,我不知道有关该用户的任何信息.我收到的只是基本的用户信息和电子邮件.
我们目前使用Google现已弃用的OID2服务,将用户部分验证为我们开发和维护的帐户恢复服务.我知道我们需要在2015年4月20日之前从Google迁移到新的OpenID Connect服务.迁移的一部分包括将旧的OID2哈希(我们已经存储为唯一且被认为是永久标识符)映射到可用的新sub_id值在新服务中.我们知道将openid_realm值提供给新服务将从openid_id值获取我们的OID2哈希值,以便我们可以映射到新的sub_id.由于我们强制用户每年验证其帐户恢复设置,因此我们可以强制他们在当时向Google进行身份验证.考虑到迁移的时间不到一年,到2015年4月15日将很难完成全面迁移.我们的问题是新服务中的openid_id值将为我们的领域返回旧的OID2哈希值多长时间?是否会继续关闭OID2服务?