Tengo la tentación de dejar que mi OpenID Connect / Oauth2 OP acepte la solicitud de CORS en un punto final oauth2 después de verificar esa identificación del cliente y su origen permitido coinciden.
De esta manera, un RP podría obtener una respuesta directamente sin utilizar redirect_uri o un relé de mensaje posterior o una locura de relé de almacenamiento web.
¿Algún problema previsto?