<div dir="ltr">I think it's application/jwt per <a href="http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-31#section-10.3.1">http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-31#section-10.3.1</a><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 3, 2014 at 5:11 AM, Prabath Siriwardena <span dir="ltr"><<a href="mailto:prabath@wso2.com" target="_blank">prabath@wso2.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Is there a Content-Type defined for JWT already...?<div><br></div><div>application/json Content-Type won't work - since the structure of the JWT is not JSON...</div><div><br></div><div>Appreciate a lot any pointers..? </div><div><br></div><div>Can we define content type called application/jwt or application/json+jwt</div><div><br></div><div>Thanks & regards,</div><div>-Prabath<br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 5, 2014 at 11:13 AM, Prabath Siriwardena <span dir="ltr"><<a href="mailto:prabath@wso2.com" target="_blank">prabath@wso2.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div><div>I have the following SOAP use case...</div><div><br></div><div>1. Using WS-Trust - I authenticate to the STS - and get a SAML Bearer Token with the required set of claims..</div><div>2. I use this as a supporting token to access a SOAP service.</div>
<div>3. SOAP service will validate the signature of the SAML token and if it is valid - I will be able to access it.</div><div><br></div><div>Now I am thinking of implementing the same in the following manner for REST APIs.</div>
<div><br></div><div>1. Using OpenID Connect talk to the token endpoint with client credential grant type and get a signed ID token with the required set of claims.</div><div>2. Set the JWT token in an HTTP header and talk to the secured API.</div>
<div>3. API should validate the signature of the JWT and if its valid and if it trusts the issuer - should let me in.</div><div><br></div><div>But - I find some limitations in spec to implement my REST use case.</div><div>
<br></div><div>1. OpenID Connect specification does not talk about client credentials grant type ? at the same time it does not say its a MUST to use authorization code or implicit.</div><div><br></div><div>2. AFAIK there is no HTTP binding to pass a JWT - please let me know if there is any?</div>
<div><br></div><div>Appreciate your thoughts on this...</div><div><br><br>Thanks & Regards,<br>Prabath<br><br>Twitter : @prabath<br>LinkedIn : <a href="http://www.linkedin.com/in/prabathsiriwardena" target="_blank">http://www.linkedin.com/in/prabathsiriwardena</a><br>
<br>Mobile : <a href="tel:%2B94%2071%20809%206732" value="+94718096732" target="_blank">+94 71 809 6732</a><br><br><a href="http://blog.facilelogin.com" target="_blank">http://blog.facilelogin.com</a><br><a href="http://blog.api-security.org" target="_blank">http://blog.api-security.org</a><span class="HOEnZb"><font color="#888888"><br></font></span></div></div></div><span class="HOEnZb"><font color="#888888">
</font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div>Thanks & Regards,<br>Prabath<br><br>Twitter : @prabath<br>LinkedIn : <a href="http://www.linkedin.com/in/prabathsiriwardena" target="_blank">http://www.linkedin.com/in/prabathsiriwardena</a><br><br>Mobile : <a href="tel:%2B94%2071%20809%206732" value="+94718096732" target="_blank">+94 71 809 6732</a><br><br><a href="http://blog.facilelogin.com" target="_blank">http://blog.facilelogin.com</a><br><a href="http://blog.api-security.org" target="_blank">http://blog.api-security.org</a></div>
</font></span></div></div></div>
<br>_______________________________________________<br>
jose mailing list<br>
<a href="mailto:jose@ietf.org">jose@ietf.org</a><br>
<a href="https://www.ietf.org/mailman/listinfo/jose" target="_blank">https://www.ietf.org/mailman/listinfo/jose</a><br>
<br></blockquote></div><br></div>