OIDC リンク集
OIDC サーバーをフルスクラッチする際の心構えを養う
上記の第二弾
コア機能だけであればそこまで OIDC 実装は複雑でないかもという言及はされていた
コアな RFC は列挙されているので実装する際にはかなり参考になりそうなリンク集
OAuth 2.0 の inplicit flow で認証するのはとても危険だよというお話
おっしゃる通り
ログインだけであれば response_type=id_token でも問題ないという知見を得た
ただクライアント側で名前を参照したいというケースは大いにありそうだから Implicit Flow はやはり適切でないかも?
ログインのみを提供する初期実装としてはちょうど良い気がしている