<div dir="ltr"><div>Hello everyone,</div><div><br></div><div>I'm certain you've came across authorization servers issuing JWT-formatted Access Tokens by now. Most frequently these are following the JWT profile just like an ID Token does, opening up the possibility an Access Token is a perfect ID Token lookalike and can be used i.e. as id_token_hint.</div><div><ul><li>Is this a valid concern?<br></li><li>Shouldn't the JWT "typ" header parameter be used to strong type the ID Token (similar to SETs secevent+jwt)?</li><li>Any other way ID Tokens could have a unique required claims making it possible to differentiate between JWT Access Tokens and ID Tokens?</li></ul><div>If not part of the specs, should the OPs supporting JWT access tokens be at least recommended to push unique claims to their JWTs to be able to distinguish between the different JWT uses?</div><div><br></div><div>Penny for your thoughts.<br></div><div><br></div></div><div><div class="gmail_signature">Best Regards,<br><b>Filip Skokan</b></div></div>
</div>