我的应用具有iframe。在此iframe中,显示了第三方应用程序。这些应用需要对我们的用户进行身份验证,因此-如果他们没有id_token-他们会在iframe中启动身份验证流程。
我们的IdentityServer配置有CSP,以便仅嵌入到我们的域中。
在这种情况下,我们有一个在完全不同的来源上运行的第三方应用程序。该应用程序已加载到我们的iframe中,尝试打开该应用程序的用户未在其应用程序上通过身份验证。他们向我们的ID服务器启动授权流程。根据请求的范围,我们得到两个不同的结果:
从安全性的角度来看,这两个请求之间没有区别。我重复一遍,唯一的区别是所要求的范围。
谢谢