Sono tentato di lasciare che il mio OP OpenID Connect / Oauth2 accetti la richiesta CORS su un endpoint oauth2 dopo aver controllato l'ID cliente e la sua origine consentita corrispondono.
In questo modo un RP sarebbe in grado di ottenere una risposta direttamente senza usare redirect_uri o un relay di post-messaggio o un follia del relay di archiviazione web.
Tutti i problemi previsti?