Abbiamo una tipica applicazione di pagina singola js che si autentica sul nostro server di autenticazione utilizzando il protocollo OAuth 2.0 (e il componente aggiuntivo OpenId-Connect). Il cliente ha inviato una richiesta per implementare l'autenticazione silenziosa utilizzando l'autenticazione di Windows (ad es. Active Directory) per gli utenti della intranet. Vogliamo implementare l'auto-autenticazione dell'utente nell'applicazione client utilizzando una xframe nascosta in cui verrà caricata la pagina di autenticazione di Windows del server di autenticazione. In questo caso, salta la procedura di inserimento delle credenziali dell'utente nella pagina di accesso e nella pagina di consenso. Vogliamo essere sicuri che non abbiamo creato una vulnerabilità e non abbiamo aumentato la superficie di attacco del nostro sistema di autenticazione. Non sono un esperto esperto di sicurezza, quindi ti sto chiedendo aiuto per l'analisi.
Non abbiamo la registrazione gratuita delle applicazioni client, tutte le applicazioni sono controllate da noi.