Token security & HttpOnly cookies

[frankvanes]

Van een todo bij het NL-GOV OpenID Connect profiel, welke relevanter is voor oAuth 2.0 (aangezien het over access_tokens gaat en id_tokens juist beschikbaar moeten zijn voor de client, wat niet mogelijk is bij HttpOnly cookies):

Wellicht is het goed om een SHOULD op te nemen dat de Authorisatie Server naast een access_token in de token response header OOK een (ander) token meegeeft als HttpOnly cookie en dat de Resource Server bij elk request zowel het access_token als de HttpOnly cookie valideert voor toegang.

[mrtn78]

@frankvanes kan dit issue worden gesloten als outdated of is het nog relevant?