Мне было интересно, какова была основная причина использования скрытого iframe с prompt=none при тихом обновлении токенов в OpenID Connect? Поскольку спецификация [1] говорит, что конечная точка /authorize должна поддерживать POST, не может ли это быть сделано с помощью запроса XHR?
prompt=none
/authorize
POST
[1] https://openid.net/specs/openid-connect-core-1_0.html#AuthorizationEndpoint (3.1.2.1. Запрос аутентификации)
Это деталь реализации, которую выбрал поставщик программного обеспечения, а не часть спецификации.
Представление или его отсутствие пользователю не является частью OAuth. Я даже видел реализации, которые показывают всплывающее окно.