Я знаю, как создать приложение с проверкой подлинности Google с помощью google-signin-client_id 3089273xx-xxxxxxxxxxxx.apps.googleusercontent.com и <script src="https://apis.google.com/js/platform.js" async defer></script>
, но проблема в том, что я не смог ОГРАНИЧИТЬ вход в систему только на экземпляр G Suite моей компании.
Приложение, которое у меня есть, представляет собой «бессерверный» пакет JS, размещенный на S3. Вошедший в систему токен Google привязан к роли AWS, которая получает доступ к конфиденциальным ресурсам.
Итак, типичные решения для проверки электронной почты googleUser.getBasicProfile()
или передать параметр hd
не имеет никакого смысла с точки зрения безопасности, поскольку ими можно манипулировать с помощью инструментов разработки браузера IIUC.
Есть ли какой-то другой API Google, который я мог бы использовать, или стратегию, которую я мог бы применить? Я предполагаю, что решение придет в виде специального google-signin-client_id для домена моей компании, размещенного в G Suite. Вот как это связано с ролью в AWS:
Я знаю, что могу дублировать своих пользователей в «пулах пользователей» AWS и использовать Cognito, но я пытаюсь создать «единый источник правды» для сотрудников компании и облегчить бремя администрирования.