<div dir="ltr"><div>I've updated the FastIDV spec based on the comments on this list, and our deployment feedback. </div><div><br></div><div>Key changes:</div><div><ol><li>Added new ID Token claims email_authority, and phone_number_authority after discussion on-list.<br></li><li>Relaxing of the prohibition against "prompt=none", converted this to being an OP choice (but have recommended OPs do employ a mitigation against bulk programmatic access).  We still don't support prompt=none in our deployment, but enough have asked for it that I felt it reasonable to make this an OP choice.  I'm expecting to iterate further on that topic as more people deploy and use FastIDV.<br></li><li>Added a section in the security considerations discussing the risks of accepting OP claims other than 'sub'.</li></ol></div><div><br></div><div>Github: <a href="https://github.com/williamdenniss/fastidv">https://github.com/williamdenniss/fastidv</a></div><div>HTML version available here: <a href="https://wdenniss.com/fastidv">https://wdenniss.com/fastidv</a></div><div>And it's attached.</div><div><br></div><div>And with that, I'm on vacation for a week, but will respond to any comments when I'm back :-)</div></div>