<div dir="ltr">Regarding the <a href="https://rp.certification.openid.net:8080/list?profile=C">'code' response type tests</a>, my understanding is that it's not necessary to validate the ID Token signature as it was obtained via a HTTPS connection to the OP.<div><br></div><div>This test follows that logic:<div>rp-id_token-sig-none</div><div><br></div><div>However, these 4 tests assume signature validation for the code flow:</div><div>rp-id_token-kid-absent-single-jwks<br>rp-id_token-kid-absent-multiple-jwks<br>rp-id_token-bad-sig-rs256<br>rp-id_token-sig-rs256</div></div><div><br></div><div>Can they be made optional for the 'code' response type tests?</div><div><br></div></div>