Возможно ли ограничить вход в мое веб-приложение только учетными записями, которые находятся в группе google?Google oauth - Ограничить вход в определенную группу google
Я не хочу, чтобы все могли просто входить в систему со своим личным gmail, но только с теми, кто находится в моей группе google.
Появляется OAuth Scope for groups. -jim
Я изучал это, есть несколько вариантов для достижения этого. Во-первых, если вы используете G Suite в размещенном домене, вы можете указать параметр hd в запросе входа Oauth и установить его в свой домен. Это не позволит кому-либо с адресом gmail, а не @ yourhost.com аутентифицироваться. На этом же шаге вы можете запросить доступ (авторизацию) для совершения вызовов в API групп от имени этого пользователя (за ответ @ jwilleke). В этот момент вы можете использовать полученный вами токен и сделать запрос на своем конце для частной группы и посмотреть, является ли этот пользователь частью этого. Если они есть, пусть они, если они не хотят, отказывают в доступе.
Я искал другие способы достижения этого, однако я не нашел метод, который позволяет просто предоставить групповую авторизацию в силу применения некоторой роли к идентификатору клиента Oauth, который вы вращаете в GCP. Единственное, что я могу подумать об этом, - это каким-то образом создать ваше приложение таким образом, чтобы вы могли предоставить его как область в исходном запросе на аутентификацию. Я знаю, что вы можете создавать свои собственные API, а не с Cloud Endpoints, однако я не уверен, что в конечном итоге вы получите то, что хотите. Поставщики услуг, такие как Ping/Okta, имеют такую функциональность, потому что они могут быть посредниками/предоставлять интерфейс для потока oidc.