<div dir="ltr"><div><div><div>Hi,<br><br></div>Access tokens generated by MITREid Connect and transmitted to the client are JWT tokens but do not contain scopes.<br></div><div></div><div>Therefore, resource server has to call the introspect URL to fetch the scope.<br></div><div><br>Since MITREid is using signed JWT, the resource server can verify the access token.<br></div><div>So why not include the scopes?<br></div><div><br></div><div>Do you declare in MITREid Connect the client application and the resource server, the client application with no introspection right, the resource server with introspection?<br></div><div><br></div><div>Best regards,<br></div><br></div><div>Yannick Béot<br></div></div>