使用参数(django/python-Social-auth)将Google OAuth访问限制为一个域

问题描述

我正在为我的公司构建一个内部WebApp以供使用，并希望使用我们的Google Apps域来管理来自我们公司域名用户名(此问题的睡觉为example.com)的访问。

我正在使用：

Django==1.9.5
python-social-auth==0.2.19
+ dependencies

通过阅读其他SO问题，我发现可以通过以下设置使用GOOG"托管域"(HD)参数：

 SOCIAL_AUTH_GOOGLE_OAUTH2_AUTH_EXTRA_ARGUMENTS = {'hd': 'example.com'}

该参数正在成功追加到初始请求，我可以在授予访问权限之前在URL中看到它。

然而，它并没有像我预期的那样工作。我已成功使用两个非公司电子邮件地址进行身份验证。

我是否误解了"hd="参数的工作原理，或者我是否还需要限制通过Google Admin仪表板上其他位置的应用程序进行访问？或者只是在OAuth2流中不受支持？

提前感谢您的帮助。

---

解决方案

我知道这是一个较旧的帖子，但我发现它在搜索如何向OAuth2添加额外的URL参数。我不知道如何设置HD参数。

根据您的情况，将白名单设置为您要接受的域。他们可以通过向Google添加未指定的托管域帐户进行身份验证，但不会登录到您的站点。他们将收到AuthForbidden异常，并显示消息"不允许使用您的凭据。"

要设置您的站点接受的域的白名单，请将以下内容添加到settings.py：

SOCIAL_AUTH_GOOGLE_OAUTH2_WHITELISTED_DOMAINS = ['domain.com', 'example.org']

您还可以设置一个更友好的页面，这样他们就不会收到默认的500错误页面：

SOCIAL_AUTH_LOGIN_ERROR_URL = '/authentication_error/'
SOCIAL_AUTH_BACKEND_ERROR_URL = '/authentication_error/'

更新urls.py以使此url指向呈现了漂亮HTML页的视图，以便让他们知道出了什么问题。