<div dir="ltr">I prepared a word version with modifications and comments. <div>Many of them are editorial. It is probably easier to go through than to do it in multiple tickets. </div><div><br></div><div>1 normative change proposed about the processing of prompt parameter. It was using MUST, but I think it should be SHOULD. It is possible that trying to obtain active consent may be illegal
when it is obvious from other actions. MUST is a bit too much. It is also
prone to “Pavlov” attack.</div><div><br></div><div style>Also, one question about whether the MIME Type of the signed UserInfo response should be. It currently is application/jwt but it may be more appropriate to have it as application/jws. </div>
<div><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div></div>