15

我创建了一个新的 MVC4/.NET4.5 项目并启用了 Google OpenID。这很容易奏效。

我的公司已“使用谷歌”,我们的域/员工身份位于 Google Apps 网络空间中。

如何仅允许我们的 Google Apps 域对我的新网站进行身份验证?我希望这是一件像认证一样简单的事情。

以下是一些附加信息:

  • 我确实创建了一个默认 Web 应用程序并启用了 Google 身份验证部分。我无法相信针对 Google 进行验证是多么简单。
  • 我的公司实际上有数百个电子邮件域,所有这些域都汇总在一个电子邮件域“伞”下。例如,我公司的企业邮箱域名是“foo.com”,但在这下面我们有“x.foo.com”、“bar.com”和“yomommasougly.net”。所有这些都是“foo.com”Google Apps 域的一部分。
  • 最终目标是,描述需要做什么(以及在哪里)采用这个默认应用程序并将其限制在“foo.com”域下的所有域中。
  • 由于有数百个域,并且一直在添加更多域,因此明确指定每个域是不切实际的。
4

1 回答 1

2

假设您使用的是 DotNetOpenAuth,请查看Stack Exchange Data Explorer的身份验证代码。

本质上,您只需在请求中询问电子邮件地址:

request.AddExtension(
    new ClaimsRequest
    {
        Email = DemandLevel.Require,
    }
);

然后根据您的域白名单检查返回的地址(我假设您已经只接受谷歌 OpenID)

var sreg = response.GetExtension<ClaimsResponse>();
If (!HasWhiteListedDomain(sreg.Email)) { 
    // Fail Here
}

请注意,需要将这些代码添加到您的 Web.config 以获取用于获取上述电子邮件的确切代码:

  <configSections>
    <section name="dotNetOpenAuth" type="DotNetOpenAuth.Configuration.DotNetOpenAuthSection" requirePermission="false" allowLocation="true" />
  </configSections>
  <dotNetOpenAuth>
    <openid>
      <relyingParty>
        <behaviors>
          <!-- The following OPTIONAL behavior allows RPs to use SREG only, but be compatible
                    with OPs that use Attribute Exchange (in various formats). -->
          <add type="DotNetOpenAuth.OpenId.Behaviors.AXFetchAsSregTransform, DotNetOpenAuth" />
        </behaviors>
      </relyingParty>
    </openid>
  </dotNetOpenAuth>

编辑:

如果使用OAuthWebSecurity获取电子邮件将看起来像这样:

var userDataFromProvider = result.ExtraData;
var email = userDataFromProvider["email"];

资源

于 2013-04-29T21:52:26.423 回答