如何使用Oauth 2限制访问
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何使用Oauth 2限制访问相关的知识,希望对你有一定的参考价值。
Oauth的新手,有一个普遍的问题。有没有办法限制谁可以使用Oauth 2登录您的网站?类似于AD组或其他什么,所以我可以根据组或用户名控制我想要谁能够登录?我希望人们使用谷歌或Facebook,但只允许某些人实际登录。
答案
您可以在处理redirect_uri的代码中过滤用户。如果您使用Auth code grant,那将是一些后端代码,如果您使用Implicit flow,它将是浏览器应用程序中的代码。但是javascript安全限制也应该在后端的某个位置具有等价物,因为浏览器用户可以更改JavaScript代码。
为了能够做到这一点(获得有关经过身份验证的用户的信息),您应该请求ID token或访问令牌,其范围授权您在/userinfo端点获取用户信息。
以上是关于如何使用Oauth 2限制访问的主要内容,如果未能解决你的问题,请参考以下文章
Spring Security OAUTH2 - 如何根据客户端 ID 限制对 API 的访问?
每个 refreshToken 的 OAuth2 访问令牌限制