我设法使用clientid实现了auth函数described by google。
因此,在访问html页面时,会要求一个人使用Google帐户进行身份验证。
问题:就像现在一样,每个人都可以使用该网站,只要他/她有一个Google帐户进行身份验证即可。如何限制特定用户群的使用?我是否需要管理User对象提供的唯一用户ID列表?或者是否有预制的东西,我可以使用?
答案 0 :(得分:0)
我认为最安全的是保留一个ID列表。您希望谷歌或其他任何人知道您希望允许哪类用户的基础是什么?
即使是唯一的地理位置,人们可能会使用代理服务器或从远程位置使用您的网站。
您链接的网站也说了很多:
在API后端指定授权客户端
您必须指定允许哪些客户端访问API后端 通过客户ID的白名单。客户端ID由生成 来自客户端密钥的Google API控制台,例如SHA1指纹 用于保护Android应用程序或来自Bundle ID / Apple的密钥 iOS应用的商店ID对,如创建OAuth 2.0中所述 客户ID。在运行时,客户端应用程序被授予授权 如果它的客户端需要将请求发送到API后端 秘密匹配API后端内的客户端ID中包含的内容 客户端ID白名单。
它也是唯一的通用身份验证(授权),授权(他们可以在您的网站上执行的操作)来自您。