<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 8 Dec 2016, at 17:15, Filip <<a href="mailto:panva.ip@gmail.com" class="">panva.ip@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="">Hello,</div><div class=""><br class=""></div><div class="">While testing for all specified test/profiles in the PDF i've encountered the following five issues for these test + response_type combinations<br class=""></div><div class=""><ol class=""><li class="">id_token/rp-id_token-bad-at_hash<br class=""></li><ul class=""><li class="">is listed in the PDF for implicit profile, test description clearly only mentions access_token issuing response types, this test should not be listed in the PDF under implicit-id_token, since no at_hash check will be performed without access_token being present<br class=""></li></ul></ol></div></div></div></blockquote><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><ol class="" start="2"><li class="">code+id_token/rp-id_token-bad-at_hash<br class=""></li><ol class=""><li class="">authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior”}<br class=""></li></ol></ol></div></div></div></blockquote>You get at_hash'es in the id_token when an access token is return in the same response. If you have response_type=code+id_token</div><div>there is no access token returned hence no at_hash. Hence, it makes no sense running this combination.<br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><ol class="" start="3"><li class="">code+token/rp-id_token-bad-at_hash<br class=""></li><ol class=""><li class="">authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior”}<br class=""></li></ol></ol></div></div></div></blockquote>Sort of the same, if you don’t get back an id_token (which you don’t with response_type=code+token) where would the at_hash appear ?<br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><ol class="" start="4"><li class="">code+token/rp-id_token-bad-c_hash</li><ol class=""><li class="">authentication request is failing when response_type=code+id_token, Response {"error_description": "Wrong response_type", "error": "incorrect_behavior”}<br class=""></li></ol></ol></div></div></div></blockquote>Same as previous but about c_hash instead of at_hash..<br class=""></div><br class=""><div class="">— Roland</div></body></html>