<div dir="ltr">Currently oauth-event-types defines a token-revoked event (section 2.1):<div><a href="https://bitbucket.org/openid/risc/src">https://bitbucket.org/openid/risc/src</a></div><div><br></div><div>In a conversation last week it came up that maybe we should also have an equivalent token-issued event, to be sent every time some new token is issued (a new authorization code or a new refresh token for example). This might allow a client to detect if users are phished and some tokens never reach the intended redirect URIs, for example.</div><div><br></div><div>I think there is a similar proposal for actual consent events, not exactly the same, but in ways similar. Does anyone have pointers to that?</div><div><br></div><div>Thoughts?</div><div><br clear="all"><div><div class="gmail_signature">Marius</div></div>
</div></div>