When id_token is encrypted by JWE, it is typically signed and encrypted. <div>The client/RP should decrypt the received encrypted id_token, take out the signed but unencrypted id_token, and send it to the authorization server. </div>
<div><br></div><div>Nat Sakimura<br><br><div class="gmail_quote">On Sun, Apr 15, 2012 at 1:48 PM, Emmanuel Raviart <span dir="ltr"><<a href="mailto:emmanuel@raviart.com">emmanuel@raviart.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
According to last draft of section "2.1.2. Authorization Request" of "OpenID Connect Messages 1.0", the parameter id_token may be added to authorization request:<br>
<a href="http://openid.net/specs/openid-connect-messages-1_0.html#auth_req" target="_blank">http://openid.net/specs/<u></u>openid-connect-messages-1_0.<u></u>html#auth_req</a><br>
<br>
But, when the id_token has been encrypted using the registered id_token_encrypted_response_<u></u>alg, the IdP will not be able to decrypt it.<br>
<br>
How should an encrypted id_token be handled in authorization request?<br>
<br>
Emmanuel<br>
______________________________<u></u>_________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<u></u>net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<u></u>mailman/listinfo/openid-specs-<u></u>ab</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>
</div>