Nelle specifiche OpenID Connect la rivendicazione azp (parte autorizzata) sembra avere una contraddizione .
Nella sezione di definizione del token ID 2 dice:
azp
OPTIONAL. Authorized party - the party to which the ID Token was issued. If present, it MUST contain the OAuth 2.0 Client ID of this party. This Claim is only needed when the ID Token has a single audience value and that audience is different than the authorized party. It MAY be included even when the authorized party is the same as the sole audience...
Ma nella sezione di convalida del token 3.1.3.7 , uno dei passaggi sembra dì il contrario:
- If the ID Token contains multiple audiences, the Client SHOULD verify that an azp Claim is present.
Qualcuno potrebbe far luce su questa apparente discrepanza? Solo la seconda istanza usa un linguaggio dichiarativo, quindi mi sto appoggiando a favorirlo nella mia implementazione sebbene ritenga che la prima abbia più senso per la sicurezza.