Ste*_*ton 3 iframe owin asp.net-mvc-5 azure-active-directory
我有一个应用程序,设置使用Owin和Azure AD.它运行良好,但我现在需要在iframe内运行作为第三方解决方案的一部分.
除了安全性之外,这是可以的. https://login.microsoftonline.com不允许在iframe内运行.我的控制器将检查用户是否经过身份验证,如果没有,请调用'HttpContext.GetOwinContext().Authentication.Challenge(..............'
在研究中,我看起来不太可能在框架内做任何事情.我是唯一一个创建登录页面的选项,该页面会重定向到包含iframe的客户端应用程序吗?如果此过期,则iframe当前显示错误,指出内容无法在框架中显示,这不是很优雅.
AAD不允许对输入凭证的页面进行框架.这一要求源于需要防止点击顶升式攻击.请参阅:https://www.owasp.org/index.php/Clickjacking.相反,您最初可以进行全帧验证,然后使用prompt = none进行身份验证以刷新票证.Prompt = none告诉AAD不允许停止并请求凭据,因此该流程将始终在iframe中运行.
| 归档时间: |
|
| 查看次数: |
1472 次 |
| 最近记录: |