我们正在开发一个基于Angular 5的应用程序,它使用Secure Auth(https://www.secureauth.com/)作为身份和访问控制解决方案。我们计划使用Implicit Flow。在大多数OAuth客户端中,我们发现隐藏的iFrame用于静默刷新访问令牌。
但是默认情况下,Secure Auth IDP无法在iFrame中打开,原因是它用于阻止Click Jacking ...这可以防止我们进行静默刷新。我们在Identity Server中没有发现此类问题,其他大多数例如Azure AD,AWS Cognito,Google也建议使用隐式流。
只是想知道这是不是这样的威胁。任何意见表示赞赏。
答案 0 :(得分:1)
ClickJacking只是一个问题,如果一个"隐形"用户界面显示。静默刷新不涉及UI(这将是一个错误)。
这就是为什么在IdentityServer中我们允许iframing授权端点 - 但不是登录或同意页面,例如。