Oauth的新手,有一个普遍的问题。有没有办法限制谁可以使用Oauth 2登录您的网站?类似于AD组或其他什么,所以我可以根据组或用户名控制我想要谁能够登录?我希望人们使用谷歌或Facebook,但只允许某些人实际登录。
您可以在处理redirect_uri的代码中过滤用户。如果您使用Auth code grant,那将是一些后端代码,如果您使用Implicit flow,它将是浏览器应用程序中的代码。但是JavaScript安全限制也应该在后端的某个位置具有等价物,因为浏览器用户可以更改JavaScript代码。
为了能够做到这一点(获得有关经过身份验证的用户的信息),您应该请求ID token或访问令牌,其范围授权您在/userinfo端点获取用户信息。