<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">Hi,</span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">I just noticed the following statement in messages:</span></div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><br></span></div>"Note that <tt>id_token</tt> MUST NOT be returned if the <tt>grant_type</tt> is not <tt>authorization_code"</tt></span><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><tt><br></tt></span></div><div><font face="monospace"><span style="-webkit-text-size-adjust: auto;">What is the rational for this restriction? I remember discussions not to allow an exchange of refresh tokens for id tokens. That's ok. But I can imagine to provide clients with id tokens based on the password grant type. Do you want to preclude this?</span></font></div><div><font face="monospace"><span style="-webkit-text-size-adjust: auto;"><br></span></font></div><div><font face="monospace"><span style="-webkit-text-size-adjust: auto;">Regards,</span></font></div><div><font face="monospace"><span style="-webkit-text-size-adjust: auto;">Torsten.</span></font></div><div><span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);"><tt><br></tt></span></div></body></html>