我们有两个SPA应用程序,它们与同一个IdentityProvider进行交互。 我们实施了oidc-client,SSO运行良好。现在我们认识到,如果阻止了第三方Cookie,则静默身份验证将无法正常工作。
默认情况下,像Safari,Firefox这样的浏览器已经在阻止第三方cookie。在SPA应用程序中进行Session_Management和Access_Token管理的推荐方法是什么。
如果IdentityProvider上的会话仍处于活动状态(会话处于活动状态且有效期为14天,且有有效期限),我们不希望用户再次登录。
我有什么选择?
答案 0 :(得分:0)
基于OP上的注释并进行了一些实验...如果我将auth cookie设置为SameSite = Lax,则基于iframe的静默调用将不起作用,但顶级重定向不会受到影响。因此,SameSite = Lax破坏了OIDC,因此,如果您希望使用标准的客户端模式,则必须有一个全面的CSRF解决方案。