<div dir="ltr">If you really want to keep the ability to de-dupe on the AS side, then either the AS needs to be able to publish that it does so (which I think is overkill) or add something that says that the client must use a unique assertion on every request. <br>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Oct 26, 2013 at 12:56 PM, Brian Campbell <span dir="ltr"><<a href="mailto:bcampbell@pingidentity.com" target="_blank">bcampbell@pingidentity.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>Not so fast. The same assertion could be used multiple times and, because it'll have a relatively short validity window, it will still have significantly better security characteristics than a password. Which is true for both self-signed and 3rd party issued assertions. <br>


<br></div>Yes, single use is better than that but enforcing single use places a significant operational burden on the AS. I don't believe the tradeoff is worth it for client auth over a direct TLS connection to the AS. <br>


<br></div>If the AS has the option of enforcing one-time use assertions but no way for the client to discover the requirement, then you'll have introp problems (or overly complex and probably buggy retry code on the client). <br>


</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Oct 25, 2013 at 9:25 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Self signed assertions must be single use.  That is the point of using them vs a password.  If you use the same assertion multiple times it is a password. </div>


<div><br></div><div>There are reasons to re use a third party assertion, but it has the same security as a password. <br><br>Sent from my iPhone</div><div><div><div><br>On Oct 25, 2013, at 7:49 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<br>


<br></div><blockquote type="cite"><div>






<div>
<p class="MsoNormal">The spec currently says this about JWTs used for client_secret_jwt and private_key_jwt:<u></u><u></u></p>
<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Verdana","sans-serif"" lang="EN">jti<u></u><u></u></span></p>
<p class="MsoNormal" style="margin-left:1.0in"><span style="font-family:"Verdana","sans-serif"" lang="EN">REQUIRED. JWT ID. A unique identifier for the token. The JWT ID MAY be used by implementations requiring message de-duplication for one-time
 use assertions. <u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Brian asked us to drop the sentence “<span style="font-family:"Verdana","sans-serif"" lang="EN">The JWT ID MAY be used by implementations requiring message de-duplication for one-time use assertions</span>” in both cases.<u></u><u></u></p>



<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">A few questions:<u></u><u></u></p>
<p><span>1.<span style="font:7.0pt "Times New Roman"">      
</span></span>Why is “jti” required?<u></u><u></u></p>
<p><span>2.<span style="font:7.0pt "Times New Roman"">      
</span></span>How do we expect it to normally be used?<u></u><u></u></p>
<p><span>3.<span style="font:7.0pt "Times New Roman"">      
</span></span>Would it be typical for assertions to be for one-time use in our use cases?<u></u><u></u></p>
<p><span>4.<span style="font:7.0pt "Times New Roman"">      
</span></span>How would a client know whether an assertion is for one-time use?<u></u><u></u></p>
<p><span>5.<span style="font:7.0pt "Times New Roman"">      
</span></span>Should “jti” only be present if the assertion is for one-time use?<u></u><u></u></p>
<p><span>6.<span style="font:7.0pt "Times New Roman"">      
</span></span>Should it be required at all?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">                                                                -- Mike<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
</div>


</div></blockquote></div></div><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Openid-specs-ab mailing list</span><br><span><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a></span><br>


<span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></span><br></div></blockquote></div><br>_______________________________________________<br>



Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br></div>
</div></div></blockquote></div><br></div>