10.8. Cross-JWT Confusion

Selon [RFC8725] §2.8, appliquer les atténuations aux Request Objects. Ne pas utiliser l'ID client comme sub. Utiliser le typage explicite typ = oauth-authz-req+jwt (9.4.1) pour les nouveaux profils ; cela peut casser les déploiements existants (OpenID.Core). Séparer les clés de signature des autres usages.