<div dir="ltr"><div>With respect to the notification mode and the discussion at <a href="http://lists.openid.net/pipermail/openid-specs-mobile-profile/Week-of-Mon-20180611/001183.html" target="_blank">http://lists.openid.net/<wbr>pipermail/openid-specs-mobile-<wbr>profile/Week-of-Mon-20180611/<wbr>001183.html</a>, I agree that it would be preferable to change the notification mode to NOT deliver the token(s), but rather to inform the client that they can go and fetch the token(s). This normalizes the means of the client obtaining tokens to it making a request to the token endpoint, which is a well established pattern. And keeping token delivery at the token endpoint simplifies things in situations where tokens are bound to client keys (like with <a href="https://tools.ietf.org/html/draft-ietf-oauth-mtls" target="_blank">MTLS</a> and <a href="https://tools.ietf.org/html/draft-ietf-oauth-token-binding" target="_blank">Token Binding</a> for example). I can't say that it's really that much more secure. But I can say that it's not introducing a completely new mechanism of token delivery for which the security properties likely aren't as well understood and haven't been evaluated at by as many people. <br></div><div><br></div><div><br></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>