<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Yes for what we are doing. However JOSE needs to support more trust models than Connect.<div><br><div><div>On 2013-04-02, at 6:54 PM, Tim Bray <<a href="mailto:tbray@textuality.com">tbray@textuality.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">From where I sit, the most obvious thing to do is look at the issuer claim, resolve ${issuer}/.well-known/openid-configuration, extract the jwk-url claim, fetch the jwk, and validate using that.  For the kind of consumer/internet stuff we do, wouldn't that nearly always be the right choice?<br>
<br>-T<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 2, 2013 at 11:48 AM, Hannes Tschofenig <span dir="ltr"><<a href="mailto:hannes.tschofenig@gmx.net" target="_blank">hannes.tschofenig@gmx.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Tim,<br>
<br>
There are three ways to shuffle keys around:<br>
<br>
* per value: you include the key in the message<br>
* per reference: you include a pointer to the key (e.g., a URL)<br>
* out-of-band: here you just give the key a name without telling where to find it.<br>
<br>
Needless to say that you have to be careful with all three mechanisms when it comes to security.<br>
<br>
You are already thinking about a complete use case that goes beyond what these header parameters by itself are able to answer.<br>
<br>
Ciao<br>
Hannes<div class="im"><br>
<br>
<br>
On 04/02/2013 09:35 PM, Tim Bray wrote:<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
Sorry, I’m probably failing to understand because I’m a crypto moron,<br>
but if I want to use keys to validate a JWT allegedly from <a href="http://example.com/" target="_blank">example.com</a><br></div>
<<a href="http://example.com/" target="_blank">http://example.com</a>>, I’m not going to believe anything in the JWT until<br>
I’ve checked using <a href="http://example.com/" target="_blank">example.com</a> <<a href="http://example.com/" target="_blank">http://example.com</a>>’s keys, so why<div class="im"><br>
should I believe the JWT’s assertion about where to get the keys to<br>
validate it?  -T<br>
<br>
<br>
On Tue, Apr 2, 2013 at 11:27 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a><br></div><div class="im">
<mailto:<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@<u></u>microsoft.com</a>>> wrote:<br>
<br>
    Yes, that’s exactly it.  If you already know where the keys are or<br>
    what they are (for instance, if you’ve established that information<br>
    at registration time), there’s no need to use these parameters.  But<br>
    for some use cases, this is valuable information that can be<br>
    dynamically provided.  (The Key ID (“kid”) can also be dynamically<br></div>
    provided, if appropriate to the use case.)____<br>
<br>
    __ __<br>
<br>
                                                                     --<br>
    Mike____<br>
<br>
    __ __<br>
<br>
    *From:*<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-<u></u>bounces@lists.openid.net</a><br>
    <mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-<u></u>bounces@lists.openid.net</a>><br>
    [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-<u></u>bounces@lists.openid.net</a><br>
    <mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-<u></u>bounces@lists.openid.net</a>>] *On Behalf Of<br>
    *Tim Bray<br>
    *Sent:* Tuesday, April 02, 2013 11:19 AM<br>
    *To:* <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<u></u>net</a><br>
    <mailto:<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.<u></u>openid.net</a>>><br>
    *Subject:* [Openid-specs-ab] jku and x5u____<br>
<br>
    __ __<div class="im"><br>
<br>
    Almost certainly I’m just missing something obvious, but I’m having<br>
    trouble understanding why the jku and x5u header claims exist.  The<br>
    idea is I get a message and believe the message’s assertion about<br></div>
    where I should go to get the cert to validate the message?  -T____<br>
<br>
<br>
<br>
<br>
______________________________<u></u>_________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<u></u>net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<u></u>mailman/listinfo/openid-specs-<u></u>ab</a><br>
<br>
</blockquote>
<br>
</blockquote></div><br></div>
_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br></blockquote></div><br></div></body></html>