<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <div class="moz-cite-prefix">I am fine with it. <br>
      <br>
      Nat<br>
      <br>
      (2013/10/11 8:21), Mike Jones wrote:<br>
    </div>
    <blockquote
cite="mid:4E1F6AAD24975D4BA5B168042967394377DEA585@TK5EX14MBXC287.redmond.corp.microsoft.com"
      type="cite">
      <meta http-equiv="Context-Type" content="text/html;
        charset=us-ascii">
      <meta name="Generator" content="Microsoft Word 14 (filtered
        medium)">
      <div class="WordSection1">
        <p class="MsoNormal"><a moz-do-not-send="true"
            href="http://openid.net/specs/openid-connect-core-1_0-12.html#sigenc">http://openid.net/specs/openid-connect-core-1_0-12.html#sigenc</a>
          says:</p>
        <p class="MsoNormal"> </p>
        <p><span lang="EN">Depending on the transport through which the
            messages are sent, the integrity of the message might not be
            guaranteed and the originator of the message might not be
            authenticated. To mitigate these risks, Request Object, <span>
              Token Request</span>, ID Token, and UserInfo Response
            values MAY utilize [JWS] to sign the contents.
          </span></p>
        <p><span lang="EN">To achieve message confidentiality, Request
            Object,
            <span>Token Request</span>, ID Token, and UserInfo Response
            values MAY use [JWE] to encrypt the content.
          </span></p>
        <p class="MsoNormal">A Token Request, used other places in the
          spec, just refers to a request made to the Token Endpoint –
          which I know of no way to sign or encrypt.  We do say how you
          can sign a JWT used with the private_key_jwt client
          authentication method, but that’s about as close to a match as
          I could come up with.</p>
        <p class="MsoNormal"> </p>
        <p class="MsoNormal">Should I just delete these odd uses of
          Token Request, or does someone want to supply alternative
          wording that makes sense?</p>
        <p class="MsoNormal"> </p>
        <p class="MsoNormal">                                                               
          Thanks,</p>
        <p class="MsoNormal">                                                               
          -- Mike</p>
        <p class="MsoNormal"> </p>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Openid-specs-ab mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a>
</pre>
    </blockquote>
    <br>
    <br>
    <pre class="moz-signature" cols="72">-- 
Nat Sakimura (<a class="moz-txt-link-abbreviated" href="mailto:n-sakimura@nri.co.jp">n-sakimura@nri.co.jp</a>)
Nomura Research Institute, Ltd. 
Tel:+81-3-6274-1412 Fax:+81-3-6274-1547

本メールに含まれる情報は機密情報であり、宛先に記載されている方のみに送信することを意図しております。意図された受取人以外の方によるこれらの情報の開示、複製、再配布や転送など一切の利用が禁止されています。誤って本メールを受信された場合は、申し訳ござ&#1235
 6;&#124
14;せんが、送信者までお知らせいただき、受信されたメールを削除していただきますようお願い致します。
PLEASE READ:
The information contained in this e-mail is confidential and intended for the named recipient(s) only.
If you are not an intended recipient of this e-mail, you are hereby notified that any review, dissemination, distribution or duplication of this message is strictly prohibited. If you have received this message in error, please notify the sender immediately and delete your copy from your system.
</pre>
  </body>
</html>