Parece que hay varias técnicas para autenticar a una persona en la web. Más comúnmente hay
Pregunta
¿Un enfoque es más seguro que los otros? ¿Cuáles son las compensaciones?
Ahora que lo pienso, creo que Facebook puede ofrecer tanto OAuth Redirects como una ventana emergente basada en JS.
Los iframes son peligrosos ya que el usuario no tiene una manera fácil de verificar que la página incrustada es, por ejemplo, facebook.com y no una página de phishing. Dependiendo de cómo esté configurado, permitir la incrustación también podría habilitar clickjacking .
El uso de una ventana emergente contra la redirección de la página actual es solo una cuestión de experiencia del usuario y no tiene ningún impacto en la seguridad.
En cuanto a las ventanas emergentes, hay menos problemas de seguridad que de UX. Muchos navegadores y sus complementos anti-molestias pueden evitar que las ventanas emergentes funcionen como se espera. Los redireccionamientos tienden a ser más limpios, particularmente para dispositivos móviles como teléfonos y tabletas.
Lea otras preguntas en las etiquetas authentication oauth2 facebook single-sign-on iframe