<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jul 3, 2022 at 8:57 AM Torsten Lodderstedt via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div dir="ltr"></div><div dir="auto"><br><blockquote type="cite">Am 02.07.2022 um 09:54 schrieb Nat Sakimura via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>>:<br></blockquote><div dir="auto">* JARM appears to only define behavior for response type code and token, but the treatment of ID Token comes up later saying it needs to be encrypted. Perhaps the reference can be removed. </div></div><div><br></div>That text makes encryption a MUST, which goes far beyond core and even FAPI. I agree with your proposal to remove it.<br></div></blockquote><div><br></div><div><br></div><div>The text is, 'Note: "query.jwt" MUST NOT be used in conjunction with response types that contain "token" or "id_token" unless the response JWT is encrypted to prevent token leakage in the URL.'  which is saying you can't use query string encoding for response types that contain "token" or "id_token" *unless* the whole JARM response is encrypted. Core and FAPI outright prohibit response types that contain "token" or "id_token" being used with query string encoding. So this is not more restrictive. It's an allowance for query string encoding when JARM encryption is used. <br></div><div><br></div><div>The special case may not be worth having. And preventing leakage with encryption is subtle because the whole response can still potentially leak and that can be problematic. <br></div><div><br></div><div>So it might be worthwhile to remove that bit but for other reasons as the reasons stated aren't accurate. <br></div><div><br></div><div><br></div><div> </div></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>