<div id="__MailbirdStyleContent" style="font-size: 10pt;font-family: lucida console;color: #000000"><span style="font-size: 10pt">> Given that in most cases id_tokens do not contain scopes it seems weird to use them as access tokens (the different between authentication and authorization).<br></span><div><br></div><div>Agreed, but some token servers out there don't use/understand scopes as per how RFC6749 is worded (at least according to my reading). </div><div><br></div><div>I think they were using the aud in the id_token to substitute for scope, with the assumption that the client and the resource server was designed as one in the same. But this scenario is not specifically documented in OAuth2 or OIDC, thus the request for threat modeling and/or clarification.</div><div><br></div><div class="mb_sig"><span style="font-family: Lucida Console">-Brock</span></div><div class="mb_sig"><span style="font-family: Lucida Console"><br></span></div>
                                        
                                        </div>