Dans ce flow, le token JWT est échangé directement entre l'OpenID Provider et le Relying Party sans passer par le User-Agent. La signature du token est simplement une sécurité supplémentaire au dessus de la sécurité du canal TLS.
Implicit Flow
Il est également identique à celui d’OAuth 2 et fournit un id_token.
On retrouve les mêmes risques et inconvénients qu’avec OAuth 2 avec le risque supplémentaire lié au fait que l'id_token est un token JWT.
Hybrid Flow
Ce flow permet de fusionner les deux flows précédents.
