<div><div dir="auto">I am actually -1. </div></div><div dir="auto"><br></div><div dir="auto">+1 for public client and the tokens that are not sender/key constrained. </div><div dir="auto"><br></div><div dir="auto">Just not being used right now does not mean that it is not useful. In fact, I see it coming. </div><div dir="auto">Implicit (well, Hybrid “token id_token” really) is very useful in certain cases. </div><div dir="auto">Specifically, when the client is confidential (based on public key pair), and uses sender constrained (key-constrained) token such as the one explained in <a href="https://tools.ietf.org/html/draft-sakimura-oauth-jpop-04#section-5">https://tools.ietf.org/html/draft-sakimura-oauth-jpop-04#section-5</a>, it is very useful. </div><div dir="auto">(Key-constrained token is the remaining portion of this draft that did not get incorporated in the MTLS draft. )</div><div dir="auto">In fact it is the only viable method for Self-Issued OpenID Provider. </div><div dir="auto"><br></div><div dir="auto">So, the text is generally good but it needs to be constrained like “Unless the client is confidential and the access token issued is key constrained, ... “</div><div dir="auto"><br></div><div dir="auto">Best, </div><div dir="auto"><br></div><div dir="auto">Nat Sakimura<br><div dir="auto"><br></div></div><div><br><div class="gmail_quote"><div dir="ltr">2018年11月27日(火) 16:01 Vladimir Dzhuvinov <<a href="mailto:vladimir@connect2id.com">vladimir@connect2id.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">+1 to recommend the deprecation of implicit.<br>
<br>
I don't see a compelling reason to keep implicit when there is an<br>
established alternative that is more secure.<br>
<br>
Our duty as WG is to give developers the best and most sensible practice.<br>
<br>
CORS adoption is currently at 94% according to<br>
<a href="https://caniuse.com/#feat=cors" rel="noreferrer" target="_blank">https://caniuse.com/#feat=cors</a><br>
<br>
Vladimir<br>
<br>
<br>
_______________________________________________<br>
OAuth mailing list<br>
<a href="mailto:OAuth@ietf.org" target="_blank">OAuth@ietf.org</a><br>
<a href="https://www.ietf.org/mailman/listinfo/oauth" rel="noreferrer" target="_blank">https://www.ietf.org/mailman/listinfo/oauth</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div></div>