What should happen when a client registers with id_token_signed_response_alg=none and then makes an authorization request with response_type=id_token or any response type that would pass the id token though the front channel? <br>

<br>This seems like it'd be an error condition (invalid_request maybe?) but I didn't see anything about it in the specs  (please correct me, if I'm wrong).<br><br>Is there some case where it'd be ok to pass a non integrity protected id token though the front channel?<br>

Do the specs need to say something about this? Or is it left up to implementation deployment?<br>Am I missing something here?<br>