Ответ 1
ну, на мой взгляд, варианты 1 и 2 должны использовать post, а в вашем коде вы должны убедиться, что запрос отправлен. вы также должны добавить в другую логику сеанса против спуфинга, если вы хотите, чтобы приложение было супер безопасным, но это предпочтительнее для разработчика и приложения. Я нахожу iframes злым, и многие хакеры используют iframes для взлома незнакомых учетных записей пользователей. openid - это надежный способ входа в систему и становится все более широко принятым, а также версии openid для facebook. Я знаю, что они используют метод iframe, но проверка удваивается, и я считаю, что https требуется для реализации этих типов логинов.
снова все это только мое мнение и в основном зависит от дизайна разработчика и бизнес-потребностей/требований приложения.
надеюсь, что это поможет:)