I believe that what is there is correct or at least what was intended. "iss" is the issuer of of the JWT to be used for client authentication. In this case it's saying that such JWTs are self issued.  Which makes sense and I think is what was intended (but don't know so someone please correct me, if I'm wrong).<br>

<br>Is it potentially too restrictive though?  It would seem to presume that clients always have access to the keying material. That's likely the case most of the time but the text as written would seem to preclude a situation where a client might interact with an STS (that holds the key material) to obtain a JWT for client authentication.   <br>

<br><br><div class="gmail_quote">On Mon, Apr 2, 2012 at 3:53 PM, Pam Dingle <span dir="ltr"><<a href="mailto:pdingle@pingidentity.com">pdingle@pingidentity.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>In section 2.2.1 of the Messages document (draft 08), in the Client Authentication section, the iss and the prn elements both have identical definitions, both containing the client_id of the OAuth Client.  Shouldn't the issuer be the AS?</div>



<div><br></div><div>Here is the text:</div><div><br></div><div><br></div><div><dt style="font-family:verdana,charcoal,helvetica,arial,sans-serif">iss</dt><dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif">



REQUIRED. The <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">iss</tt> (issuer) Claim. This MUST contain the <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">client_id</tt> of the OAuth Client.</dd>



<dt style="font-family:verdana,charcoal,helvetica,arial,sans-serif">prn</dt><dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif">REQUIRED. The <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">prn</tt> (principal) Claim. This MUST contain the <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">client_id</tt> of the OAuth Client.</dd>



<dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd><dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd>

<dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd><dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif">Thanks, talk to you shortly.</dd>

<dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd><dd style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd>

</div>-- <br><span style="font-family:'Lucida Grande',Tahoma,Arial,Verdana,sans-serif;font-size:10px;color:rgb(42,42,42)"><font style="color:rgb(52,54,52);font-size:12px" face="Tahoma" color="#343634"><b><span>Pamela Dingle</span></b>  |  <span>Sr. Technical Architect</span></font><br>



<font style="font-size:11px" face="Arial"><font face="Tahoma" color="#343634"><b>Ping</b></font><font face="Tahoma" color="#E71939"><b>Identity</b></font>  |   <a href="http://www.pingidentity.com" target="_blank">www.pingidentity.com</a><br>



- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br><font color="#005568"><b>O:</b></font> <font color="#343634"><span><a href="tel:303-999-5890" value="+13039995890" target="_blank">303-999-5890</a></span></font>   <font color="#005568"><b>M:</b></font> <font color="#343634"><span><a href="tel:303-999-5890" value="+13039995890" target="_blank">303-999-5890</a></span></font><br>



<font color="#005568"><b>Email:</b></font> <span><a href="mailto:pdingle@pingidentity.com" target="_blank">pdingle@pingidentity.com</a></span><br>- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -<br>



<table cellpadding="0" cellspacing="0"><tbody><tr valign="top"><td nowrap><div style="float:left"><font style="font-size:11px" face="Arial"><font color="#005568"><b>Connect with Ping</b></font><br><font color="#000000">Twitter: @pingidentity</font><br>



<font color="#000000">LinkedIn Group: Ping's Identity Cloud</font>    <br><font color="#000000">Facebook.com/pingidentitypage</font></font></div></td><td nowrap><div style="margin-left:20px"><font style="font-size:11px" face="Arial"><font color="#005568"><b><span>Connect with me</span></b></font><br>



<font color="#000000"><span>Twitter: @pamelarosiedee</span></font><br><font color="#000000"><span></span></font></font></div></td></tr></tbody></table></font></span><br>
<br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br>