...
http://connect2id.com/products/server/docs/config/core#op-authz-responseModes
https://openid.net/specs/oauth-v2-multiple-response-types-1_0.html
JWT : id_token vs JWT access token
id_token est un JWT, mais ne doit pas être utilisé ailleurs que dans le client. Donc pas dans l'API.
L'access token peut être un JWT (rfc9068) si on le demande au Authorization Server
- pour Apereo CAS, c'est avec l'option "jwtAccessToken" de "OAuthRegisteredService"
- pour Keycloak, il semble que les access token soit toujours des JWT
Cf https://auth0.com/blog/id-token-access-token-what-is-the-difference/
Mapping eduPerson attributes to OIDC claims
...