在OAUTH隐式流中使用隐式ClickJacking刷新令牌时的iFrames威胁

Question

我们正在开发一个基于角度5的应用程序，它使用安全的Auth (https://www.secureauth.com/)作为身份和访问控制解决方案。我们正计划使用隐式流。在大多数OAuth客户机中，我们发现隐藏的iFrames用于静默刷新访问令牌。

但是在默认情况下，安全的Auth不会在iFrames中打开，原因是它被用来防止点击劫持。这使我们无法进行无声刷新。我们在Identity Server中没有发现这样的问题，其他大多数问题，如Azure AD、AWS认知，Google也推荐使用隐式流。

只是想知道这是否是个威胁。如有任何意见，敬请见谅。

Answer 1

只有在显示“不可见的”UI时，ClickJacking才是一个值得关注的问题。静默刷新不涉及UI (这将是一个错误)。

这就是为什么在IdentityServer中，我们允许如果使用授权端点，但不允许登录或同意页面。