OAuth2 隐式流程 - IFrame 刷新身份

OAuth2 Implicit Flow - IFrame Refresh Identity

我正在为隐式流程开发 OAuth2 客户端,并且正在实施 IFrame-based 刷​​新(因为隐式流程中没有刷新令牌)。

我坚持的是试图找出 "standard" 以将访问令牌传回服务器。我是通过 access_token 查询字符串参数传回,还是在设置 IFrame 源时必须以某种方式设置授权 header(这似乎有点困难)?

有人告诉我...在用户对初始授权请求进行身份验证后,授权服务器会存储一个 cookie(在其自己的域下)。 cookie 排除 re-authentication 从隐藏的 IFrame 进行后续调用,因此无需从客户端传递任何内容作为查询字符串参数,header,等等