<div dir="ltr">After reading the text about id_token_hint, I'm not at all sure what it means. The whole thing is confusing to me but the various language around encryption is particularly confusing. And what is the AS/OP supposed to actually do with this hint anyway?<br>

<div><br><br>spec text from near the bottom of this section <a href="http://openid.net/specs/openid-connect-messages-1_0-15.html#auth_req">http://openid.net/specs/openid-connect-messages-1_0-15.html#auth_req</a> <br><dl>
<dt>
id_token_hint</dt><dd>OPTIONAL.
              <a class="" href="http://openid.net/specs/openid-connect-messages-1_0-15.html#id_token">ID Token</a>
              passed to the Authorization server as a hint about the user's current or past
              authenticated session with the client. This SHOULD be present if 
              <tt>prompt=none</tt> is sent. 
              The value is a <a class="" href="http://openid.net/specs/openid-connect-messages-1_0-15.html#JWS">JWS</a> [JWS] encoded 
              ID token as signed by the issuer, 
              the <a class="" href="http://openid.net/specs/openid-connect-messages-1_0-15.html#JWS">JWS</a> [JWS] may be <a class="" href="http://openid.net/specs/openid-connect-messages-1_0-15.html#JWE">JWE</a> [JWE] encrypted by 
              the public key of the issuer for 
              additional confidentiality. If the ID Token
              received by the RP was encrypted, 
              the Client MUST decrypt the signed ID Token.
              The Client MAY re-encrypt 
              using the key that the server is capable of decrypting. 
              For a self-issued ID Token, the
              <tt>sub</tt> (subject)
              of the ID Token
              MUST be sent as the <tt>kid</tt> (Key ID) of the JWE.
</dd></dl><br></div></div>