<div dir="ltr">The ID Token format has support to separate the token audience ("aud") from the authorized party ("azp").<div style><br></div><div style>As an example, the Google API authorization uses this to differentiate between the mobile client requesting the id_token + code (the "azp") and the back-end server that will obtain the access_token and use the id claims (the "aud").</div>
<div style>Since there are now *two* client_id involved, the Google API adds the back-end server client_id to the authorization request scope parameter (e.g. scope="<span style="font-family:Arial,sans-serif;font-size:13px;line-height:21px">audience:server:client_id:some_client_id other_scope" [1]).</span></div>
<div style><br></div><div style>However, I did not found any similar mechanism on the OpenID Connect specs. So, how can an authorization request define these two client_ids?</div><div style><br></div><div style>Thanks</div>
<div style>Pedro</div><div style><br></div><div style>[1] - <a href="https://developers.google.com/accounts/docs/CrossClientAuth#offlineAccess">https://developers.google.com/accounts/docs/CrossClientAuth</a></div></div>