概述
联合登录
宾客关联 Google 或 Facebook 身份,无需记忆额外密码。
门户用户将 OAuth 主体映射至租户角色,无需重复邮箱账户。
企业 SSO 钩子为自定义合同下的 SAML 租户扩展相同流程。
- Google OAuth
- Facebook OAuth
- 账户关联
- 企业 SSO 就绪
如何运作
从提供商按钮到会话
- 步骤 1
重定向
用户在提供商处授权;回调仅落在已验证的重定向 URI 上。
- 步骤 2
映射
服务器将授权码换取用户资料,并关联或创建本地用户记录。
- 步骤 3
会话
HTTP-only Cookie 签发与 MFA 升级兼容的 JWT 会话。
优势
身份认证优势
更高转化率
长途飞行后,移动端结账登录更快完成。
减少重置
关联 OAuth 的宾客忘记密码的支持工单减少。
企业就绪
相同的会话层接受企业租户的 SAML 断言。
安全
OAuth 加固
状态参数与 PKCE 保护公开客户端的授权流程。
提供商令牌从不到达浏览器——仅签发服务端会话 Cookie。
- 公开客户端的 PKCE
- 状态随机数验证
- HTTP-only 会话
- 提供商令牌入库
集成
提供商连接
NestJS 认证模块为 Google 与 Facebook 应用注册按环境配置的客户端 ID。
员工离开合作伙伴组织时,管理控制台撤销已关联的身份。
- NestJS OAuth 策略
- 按环境客户端 ID
- 身份撤销
- 邮箱验证回退
应用场景
登录场景
移动端重新预订
回头宾客轻触 Google 即时访问已保存的乘客信息。
合作伙伴员工
代理机构员工使用企业 Google Workspace 访问门户。
营销注册
时事通讯行动号召提供 OAuth,用于创建轻量级账户。
支持