<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On 25. aug. 2011, at 06:39, John Bradley wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Yes the idea is to use JWS to avoid directly disclosing the secret as is done with basic in the symmetric key case.<div><br></div><div>OAuth dosent define a asymetric authentication to the token endpoint.</div><div><br></div><div>The plan was to define a JWT with a single claim of code that would be signed by the RP.</div></span></blockquote><div><br></div><div>OK.</div><div><br></div><div>My main point is that, I think there are security issues with that, unless you also require or reccomends that the JWT iss and aud headers are present (I don't think they are in the JWT spec).</div></div><div><br></div><div>Andreas</div></body></html>