<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><span style="background-color:rgba(255,255,255,0)">Re-sending...</span><div><span style="background-color:rgba(255,255,255,0)"><br>
</span></div><div><span style="background-color:rgba(255,255,255,0)">Login with Amazon started. See</span><span style="background-color:rgba(255,255,255,0)"> </span><a href="http://login.amazon.com/" style>login.amazon.com</a><span style="background-color:rgba(255,255,255,0)"> </span></div>
<div><span style="background-color:rgba(255,255,255,0)">It is OAuth 2.0 based login mechanism. <br>It supports both code and implicit flow. <br>It is not OpenID Connect unfortunately. <br>It uses access token to get the customer profile to log the user in. <br>
The customer profile has a field user_id, and RP seems to log in the user based on it. <br><br>It looks to me that the implicit grant version is prone to token cut and paste attack, but I have not evaluated in detail yet to see if they have put the control in place. <br>
<br>You guys may want to follow this up. <br><br>Nat</span></div></body></html>