如何使用Oauth 2限制访问

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何使用Oauth 2限制访问相关的知识,希望对你有一定的参考价值。

Oauth的新手,有一个普遍的问题。有没有办法限制谁可以使用Oauth 2登录您的网站?类似于AD组或其他什么,所以我可以根据组或用户名控制我想要谁能够登录?我希望人们使用谷歌或Facebook,但只允许某些人实际登录。

答案

您可以在处理redirect_uri的代码中过滤用户。如果您使用Auth code grant,那将是一些后端代码,如果您使用Implicit flow,它将是浏览器应用程序中的代码。但是javascript安全限制也应该在后端的某个位置具有等价物,因为浏览器用户可以更改JavaScript代码。

为了能够做到这一点(获得有关经过身份验证的用户的信息),您应该请求ID token或访问令牌,其范围授权您在/userinfo端点获取用户信息。

以上是关于如何使用Oauth 2限制访问的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security OAUTH2 - 如何根据客户端 ID 限制对 API 的访问?

每个 refreshToken 的 OAuth2 访问令牌限制

GitHub OAuth2 令牌:如何限制访问以读取单个私有仓库

如何存储访问令牌? (Oauth 2,Auth 代码流程)

如何保护来自iframe的Oauth2隐式流

Oauth2、范围和用户角色