L’ID Token è un JSON Web Token (JWT) che contiene informazioni sull’utente che ha eseguito l’autenticazione. I Client devono eseguire la validazione dell’ID Token.
Sarebbe utile indicare che il jti e’ il JWT ID e che in OIDC e’ usato come identificato del ID token.
sub non e’ in alcun modo specificato, ma visto che si tratta dell’unico idenficatore riconosciuto dal protocollo sarebbe bene sapere almeno quando devo/posso usare un sub di tipo public e quando uno di tipo pairwise? sempre pairwise? se si sarebbe utile dare una ratio (ad esempio non c’e’ bisogno di un sub public perche’ c’e’ gia’ lo spid_code) — inoltre nel caso del pairwise andrebbe indicato quale o quali algoritmi di generazione andrebbero utilizzati.