Question

我创建了一个新的MVC4 / .NET4.5项目并启用了Google OpenID。这非常容易。

我的公司已经“google”，我们的域名/员工身份位于Google Apps网站空间。

如何才允许我们的Google Apps域对我的新网站进行身份验证？我希望这是一个简单的事情，比如认证片。

以下是一些其他信息：

我确实创建了一个默认的Web应用程序并启用了Google身份验证部分。我无法相信对Google进行验证是多么简单。
我的公司拥有数百个电子邮件域名，所有这些域名都汇集在一个电子邮件域名“伞”下。例如，我公司的公司电子邮件域名是“foo.com”，但在此我们有“x.foo.com”，“bar.com”和“yomommasougly.net”。所有这些都是“foo.com”Google Apps域的一部分。
最终目标是描述需要做什么（以及在何处）采用此默认应用程序并将其限制在“foo.com”域下的所有域。
有数百个域名，并且一直在添加更多域名，明确指定每个域名是不切实际的。

Answer 1

假设您正在使用DotNetOpenAuth，请查看Stack Exchange Data Explorer的身份验证代码。

基本上，您只需要询问包含您请求的电子邮件地址：

request.AddExtension(
    new ClaimsRequest
    {
        Email = DemandLevel.Require,
    }
);

然后针对您的域名白名单检查返回的地址（我假设您已经只接受了Google OpenID）

var sreg = response.GetExtension<ClaimsResponse>();
If (!HasWhiteListedDomain(sreg.Email)) { 
    // Fail Here
}

请注意，需要将这些代码添加到Web.config中，以获取上述工作中获取电子邮件的确切代码：

  <configSections>
    <section name="dotNetOpenAuth" type="DotNetOpenAuth.Configuration.DotNetOpenAuthSection" requirePermission="false" allowLocation="true" />
  </configSections>
  <dotNetOpenAuth>
    <openid>
      <relyingParty>
        <behaviors>
          <!-- The following OPTIONAL behavior allows RPs to use SREG only, but be compatible
                    with OPs that use Attribute Exchange (in various formats). -->
          <add type="DotNetOpenAuth.OpenId.Behaviors.AXFetchAsSregTransform, DotNetOpenAuth" />
        </behaviors>
      </relyingParty>
    </openid>
  </dotNetOpenAuth>

编辑：

如果使用OAuthWebSecurity获取电子邮件将会是这样的：

var userDataFromProvider = result.ExtraData;
var email = userDataFromProvider["email"];

Source

针对特定Google Apps域的MVC4 / Google OpenID限制

1 个答案: