<div dir="ltr">Hi,<br>In the OIDC FAPI conformance suite JARM profile, there are a couple of tests [1] where it sends the <i>response_mode</i> only inside the <i>request</i> object, and some params that should be inside the request like <i>exp</i>, <i>nbf</i>, <i>scope,</i> etc. are not sent. Those tests expect the authorization server to throw an error since the <i>request</i> object parameters are missing. This error response is expected as a JARM response (jwt format).<br><br>Question:<br>Since with those missing <i>request</i> object parameters, the whole request object should be invalid and the existing parameters inside the request object also should not be trusted. Therefore since <i>response_mode</i> parameter is also inside this invalid request object is it ok to trust its value and switch the response mode according to that?<br><br><br><u>[1] Referring test cases:</u><br>fapi1-advanced-final-ensure-request-object-without-exp-fails,<br>fapi1-advanced-final-ensure-request-object-without-nbf-fails,<br>fapi1-advanced-final-ensure-request-object-without-scope-fails<br>etc.<br><div><br>Thank you.</div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><font face="verdana, sans-serif">Regards,</font><div><font face="verdana, sans-serif"><br></font><div><div><font face="verdana, sans-serif" color="#444444"><b>Anju Chamantha</b></font></div><div><font face="verdana, sans-serif" color="#444444">Software Engineer.<br></font></div></div></div></div></div></div>