いくつかのブログ、Q&Aサイト、および質問の変形を尋ねるコメントにいくつかの質問があるようです:
CORSをOpenID Connectで正しく使用するにはどうすればよいですか?
これらの質問のコンテキストは通常、次の役割のいずれかに適用されます。
質問を検討しているときに、質問者または回答者が特定のプロファイルを参照している場合がありますが、ユースケースを関連する OpenID Connect Flow に明示的にマッピングしていません
CORSが特定の役割または使用状況プロファイルにどのように、いつ適切かを説明する1つ またはより正確な回答 を探しています。 CORS w.r.tの正しい使用法の量OpenID Connectは有限であり、いくつかの正解がある可能性があると思います。
質問(言い換え)
OPサーバーまたはクライアントサーバーでは、どのCORSポリシーを使用する必要がありますか?
どのCORSポリシーを使用する必要がありますか。
CORSが適用されないのはいつですか、具体的にはセキュリティに対する脅威ですか?
CORSはデフォルトのルールをオーバーライドできるため、過度に寛容なCORSポリシーは、ポリシーがない場合よりも悪化する可能性があります。
CORSは、有効にしたいユースケースを許可しながら、可能な限り制限する必要があります。 CORSはCSRF攻撃を防ぐのに役立つため、この防御をあまり弱めすぎないように注意する必要があります。
CORSはブラウザー内でのみ適用されるため、ネイティブアプリやデバイスログインなど、ブラウザー外のオプションには適用されません。
リダイレクトまたはJavaScriptを使用したWebブラウザー認証
シングルページアプリケーション(SPA)
アクティブなクライアント(Flash、ブラウザプラグイン、ネイティブ電話アプリ)
デバイスの流れ(AppleTVのアクティブ化)
この答えは非常に短いですが、私の見解では、「アプリ」と認証プロバイダーの間の通信はHTTPリダイレクトを介して行われるため、CORSはここではまったく機能しません。つまり、クロスオリジンAJAX JS呼び出しが適切な実装で行われていません。