如果第三方cookie被阻止，使用oidc-client跨域静默续订

Question

我们有两个SPA应用程序，它们与相同的IdentityProvider交互。我们实现了oidc客户端，单点登录工作得很好。现在我们认识到，如果第三方cookie被阻止，静默身份验证将无法工作，这是一个大问题。

默认情况下，Safari、Firefox等浏览器已经在屏蔽第三方cookies。在SPA应用程序中执行Session_Management和Access_Token管理的建议方式是什么。

我们不希望用户再次登录，如果IdentityProvider上的会话仍然是活动的(会话活动了14天，并有一个滑动的到期时间)。

我有什么选择？

Answer 1

基于对OP的评论和一些实验...如果我将auth cookie设置为SameSite=Lax，则基于iframe的静默调用不起作用，但顶级重定向不受影响。因此，SameSite=Lax打破了OIDC，因此，如果您希望使用标准客户端模式，则有必要准备一个全面的CSRF解决方案。