允许CORS进行反应-oidc上下文/oidc反应

Question

我希望使用自定义的OAuth身份验证提供程序将OAuth添加到react应用程序中。我尝试过使用反应语境和奥迪-反应，但是对于这两个库，CORS策略都会阻止我。我不知道如何添加Access-Control-Allow-Origin头，因为库从auth提供程序在幕后请求openid-configuration-file。我可以将metadata或UserManager传递给AuthProvider，就像文档所说的，"Provide metadata when authority server does not allow CORS on the metadata endpoint"，但是我不知道如何使用它们/传递什么值，因为没有示例。

有什么方法可以添加CORS-头还是另一种方式进行OIDC调用？

Answer 1

注册React时，需要在授权服务器(AS)中配置CORS。这些天几乎所有的屁股都支持CORS。你不能让它从反应代码工作。

库设置

我的代码示例显示了SPA配置，下载元数据的另一种方法是提供带有端点位置的metadata JSON对象

authorize_endpoint
end_session_endpoint
token_endpoint
jwks_endpoint

但是，当库调用最后两个端点时，它仍然需要发出跨源请求。

后端代理

如果AS绝对不支持CORS，那么一种选择是通过自己的后端组件对最后两个端点进行双跳调用。这不应与任何最新的，似乎是必要的。