我们有两个SPA应用程序,它们与同一个IdentityProvider交互。 我们实现了oidc客户端,SSO工作正常。现在我们认识到,如果第三方 cookie 被阻止,静默身份验证将不起作用,这是一个大问题。
默认情况下,像Safari,Firefox这样的浏览器已经阻止了第三方cookie。在SPA应用程序中进行Session_Management和Access_Token管理的推荐方法是什么。
如果身份提供程序上的会话仍处于活动状态(会话处于活动状态 14 天,滑动过期(,则我们不希望用户再次登录。
我有哪些选择?
根据对 OP 的评论并进行了一些实验......如果我将身份验证cookie设置为SameSite=Lax,则基于iframe的静默调用不起作用,但顶级重定向不受影响。因此,SameSite=Lax 破坏了 OIDC,因此如果您希望使用标准客户端模式,则必须有一个全面的 CSRF 解决方案。