Parece que hay una serie de preguntas en varios blogs, sitios de Q & A y comentarios que plantean variantes de la pregunta:
¿Cómo uso CORS correctamente con OpenID Connect?
El contexto de estas preguntas generalmente se aplica a uno de estos roles:
- El emisor, como Facebook, Azure AD (este es el "OP" o "Proveedor de OpenID" en la Especificación)
- Una parte de confianza, como StackExchange o FB Connect Auth (el "cliente" del sitio web en la Especificación)
Al revisar las preguntas, a veces el autor de la pregunta o el contestador hacen referencia a un perfil específico, pero no asignan explícitamente el caso de uso al OpenID Connect Flow
- Autentificación del navegador web con redirecciones, o Javascript
- Una aplicación de una sola página (SPA)
- Un cliente activo (Flash, complemento del navegador, aplicación de teléfono nativa)
- Flujo de dispositivos (Activando AppleTV)
Estoy buscando una o más respuestas correctas que describen cómo y cuándo CORS es apropiado para un determinado rol o perfil de uso. Dado que la cantidad de usos correctos de CORS w.r.t. OpenID Connect es finito, creo que es posible tener varias respuestas correctas.
Pregunta (reformulada)
-
¿Qué políticas de CORS deben usarse en el OP o en los servidores del Cliente?
-
Para qué políticas de CORS se deben utilizar:
- implícito
- Código de autorización
- híbrido
- credenciales de cliente
- Contraseña del propietario del recurso
- Actualizar tokens
- Subvenciones de extensión
-
¿Cuándo no es aplicable CORS, o específicamente una amenaza para la seguridad?