<div dir="ltr">Hello,<br><br>I have a question about an access token to access a UserInfo endpoint.<br><br>OpenID Connect Core 1.0, 5.3.1. UserInfo Request says as follows.<br><br>    The Access Token obtained from an OpenID Connect Authentication<br>    Request MUST be sent as a Bearer Token, per Section 2 of OAuth<br>    2.0 Bearer Token Usage [RFC6750]. <br><br>If an access token is issued via 'OpenID Connect Authentication Request' (not via a pure OAuth 2.0 authorization request), 'scope' must contain 'openid' (3.1.2.1. Authentication Request). Therefore, my interpretation is that an access token to access a UserInfo endpoint must cover 'openid' scope.<br><br>Is this interpretation appropriate? Or, Is it allowed to return user information from a UserInfo endpoint even when an access token presented by a client application does not cover 'openid' scope? How do existing implementations behave?<br><br>Best Regards,<br>Takahiko Kawasaki<br></div>