<HTML>
<HEAD>
<TITLE>Few more connect comments.</TITLE>
</HEAD>
<BODY>
<FONT FACE="Lucida Grande"><SPAN STYLE='font-size:11pt'>Few more comments:<BR>
<BR>
http-redirect:  Can you only get an id_token with the request method?<BR>
<BR>
session 3.2.3: We should consider how this relates to the token revocation draft, given both Google and Salesforce will be shipping<BR>
<BR>
client-registration 4.1: would like to see PEM encoded x509 as an option for clients that can't host a jwk<BR>
<BR>
client-registration: I believe we need to protect the service itself with oauth - almost all of us have applications owned by a developer account, and hence we need some authentication to perform the binding to that account<BR>
<BR>
-cmort</SPAN></FONT>
</BODY>
</HTML>