Hi. <div><br></div><div>I have just updated the core. </div><div><br></div><div>HTML: <a href="http://openid4.us/specs/ab/openid-connect-core-1_0.html">http://openid4.us/specs/ab/openid-connect-core-1_0.html</a></div><div>
<br></div><div>Main diff is that I have moved the "openid" structure from the access token response to UserInfo response. </div><div>The id_token response is still treated as extension. It should probably be incorporated in the core in the next rev. </div>
<div><br></div><div>One discussion point. When we are using JWS, "signed" actually contains everything in the original response. Is it not redundant to return both? Just returning "signed" as "access_token" should suffice?</div>
<div><br></div><div>One question: maybe better to send this to OAuth list but... why does not the user-agent flow use "code"? </div><div>If it does, the entire spec will be even more simple. </div><div>User-agent getting "access_token" directly instead of "code" and using that "access_token" repeatedly on the resource seem to be a small amount of optimization (one round-trip) with a lot of spec complication. </div>
<div><br>-- <br>Nat Sakimura (=nat)<br><a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br><a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><br>
</div>