<div dir="ltr"><dl><dt>Core has two mentions of  id_token_hint (not counting self issued and IANA registration), which are quoted below. It seems that one says that an error SHOULD be returned if the end-user identified by the id_token_hint isn't the current user while the other says an error MUST be returned.</dt></dl><p>Is this an oversight that should maybe be fixed in errata v.next? <br></p><p>Or is there something more subtle or intentional here?<br></p><dl><dt><br></dt><dt><a href="http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest">http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest</a></dt><dd><br></dd><dt>    id_token_hint</dt><dd>
                  
                  OPTIONAL.
                  ID Token previously issued by the Authorization Server
                  being passed as a hint about the End-User's current or past
                  authenticated session with the Client.
<b>                 If the End-User identified by the ID Token is logged in or is logged in by the request,
                  then the Authorization Server returns a positive response;
                  otherwise, it SHOULD return
                  an error, such as <tt>login_required</tt>.</b>
                  When possible, an <tt>id_token_hint</tt>
                  SHOULD be present when <tt>prompt=none</tt> is used
                  and an <tt>invalid_request</tt> error
                  MAY be returned if it is not;
                  however, the server SHOULD respond successfully when possible,
                  even if it is not present.
                  The Authorization Server need not be listed as an
                  audience of the ID Token when it is used as an
                  <tt>id_token_hint</tt> value.
                
</dd></dl><p><br></p><p><a href="http://openid.net/specs/openid-connect-core-1_0.html#AuthRequestValidation">http://openid.net/specs/openid-connect-core-1_0.html#AuthRequestValidation</a></p><p style="margin-left:40px">If the <tt>sub</tt> (subject) Claim
                  is requested with a specific value for the ID Token, 
                  the <b>Authorization Server MUST only send a positive response
                  if the End-User identified by that <tt>sub</tt> value
                  has an active session with the Authorization Server
                  or has been Authenticated as a result of the request.
                  The Authorization Server MUST NOT reply with an ID Token or
                  Access Token for a different user,</b> 
                  even if they have an active session with the Authorization Server.
                  Such a request can be made either using an
                  <tt>id_token_hint</tt> parameter
                  or by requesting a specific Claim Value
                  as described in <a class="" href="http://openid.net/specs/openid-connect-core-1_0.html#IndividualClaimsRequests">Section 5.5.1</a>,
                  if the <tt>claims</tt> parameter
                  is supported by the implementation.
                
</p><p><br></p></div>