<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html;
      charset=windows-1252">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <p>If we're speaking of software statements in client dyn reg, only
      "iss" (issuer) is required:</p>
    <p><a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/rfc7591#section-2.3">https://tools.ietf.org/html/rfc7591#section-2.3</a></p>
    <p>As John pointed out, the JWT spec itself doesn't mandate any
      claims, this is entirely up to the particular application that
      makes use of JWT. So, whatever is best and most reasonable for
      this particular case, it can be done. All JWT libs that aren't
      tied to a particular app (profile), e.g. OIDC, should be able to
      support that.<br>
    </p>
    <p><a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/rfc7519#section-4.1">https://tools.ietf.org/html/rfc7519#section-4.1</a></p>
    <p>.
      <blockquote type="cite">
        <pre class="newpage">   None of the claims
   defined below are intended to be mandatory to use or implement in all
   cases, but rather they provide a starting point for a set of useful,
   interoperable claims.  Applications using JWTs should define which
   specific claims they use and when they are required or optional.</pre>
      </blockquote>
    </p>
    <p>Vladimir<br>
    </p>
    <br>
    <div class="moz-cite-prefix">On 23/09/17 02:50, John Bradley via
      Openid-specs-fapi wrote:<br>
    </div>
    <blockquote type="cite"
      cite="mid:E2E21A69-FEF6-4A48-88F1-D293A380828B@ve7jtb.com">
      <pre wrap="">I guess the other question is if the software statement should have an audience.  Nothing in JWT requires on.  Or you could have a logical audience for UK-Open banking participants that they could all recognize.  That would keep other people from accidentally trying to process it.

John B.
</pre>
      <blockquote type="cite">
        <pre wrap="">On Sep 22, 2017, at 7:53 PM, Pamela Dingle via Openid-specs-fapi <a class="moz-txt-link-rfc2396E" href="mailto:openid-specs-fapi@lists.openid.net"><openid-specs-fapi@lists.openid.net></a> wrote:

Hi FAPI'ers, 

Can anyone here comment on whether they use or make technology that CANNOT override the standard RFC7519 JWT audience validation requirements?

I know that the jose4j library allows the ability to override the rules set out in <a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/rfc7519#section-4.1.3">https://tools.ietf.org/html/rfc7519#section-4.1.3</a> <a class="moz-txt-link-rfc2396E" href="https://tools.ietf.org/html/rfc7519#section-4.1.3"><https://tools.ietf.org/html/rfc7519#section-4.1.3></a> but I don't know if that is a common feature of other libraries.  As I read those rules, any entity that receives a JWT with an aud claim populated but which does not have the entity itself listed as a recipient should reject that JWT.

In this case we are talking about validating software statements in a dynamic client requests -- if the software statement is generated with an audience set to be the client requesting the software statement, technically every AS the client tries to post that statement to should reject the statement, since the aud claim does not reference them directly.  Any opinions on whether at the end of the day this is a serious compliance issue (or not), and/or a real problem for implementers (or not) would be welcome.

Cheers,

Pamela

-- 
 <a class="moz-txt-link-rfc2396E" href="https://www.pingidentity.com/"><https://www.pingidentity.com/></a> <a class="moz-txt-link-rfc2396E" href="https://www.pingidentity.com/"><https://www.pingidentity.com/></a>        
Pam Dingle      
Principal Technical Architect   
<a class="moz-txt-link-abbreviated" href="mailto:pdingle@pingidentity.com">pdingle@pingidentity.com</a> <a class="moz-txt-link-rfc2396E" href="mailto:pdingle@pingidentity.com"><mailto:pdingle@pingidentity.com></a>     
w: +1 303.999.5890      
c: +1 303.999.5890
Connect with us:         <a class="moz-txt-link-rfc2396E" href="https://www.glassdoor.com/Overview/Working-at-Ping-Identity-EI_IE380907.11,24.htm"><https://www.glassdoor.com/Overview/Working-at-Ping-Identity-EI_IE380907.11,24.htm></a>         <a class="moz-txt-link-rfc2396E" href="https://www.linkedin.com/company/21870"><https://www.linkedin.com/company/21870></a>  <a class="moz-txt-link-rfc2396E" href="https://twitter.com/pingidentity"><https://twitter.com/pingidentity></a>        <a class="moz-txt-link-rfc2396E" href="https://www.facebook.com/pingidentitypage"><https://www.facebook.com/pingidentitypage></a>         <a class="moz-txt-link-rfc2396E" href="https://www.youtube.com/user/PingIdentityTV"><https://www.youtube.com/user/PingIdentityTV></a>     <a class="moz-txt-link-rfc2396E" href="https://plus.google.com/u/0/114266977739397708540"><https://plus.google.com/u/0/114266977739397708540></a>  <a class="moz-txt-link-rfc2396E" href="https://www.pingidentity.com/en/blog.html"><https://www.pingidentity.com/en/blog.html></a>                                                                                                                       
 <a class="moz-txt-link-rfc2396E" href="https://www.pingidentity.com/en/lp/identify-2017.html"><https://www.pingidentity.com/en/lp/identify-2017.html></a>
CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you._______________________________________________
Openid-specs-fapi mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-fapi@lists.openid.net">Openid-specs-fapi@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a>
</pre>
      </blockquote>
      <pre wrap="">

</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Openid-specs-fapi mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Openid-specs-fapi@lists.openid.net">Openid-specs-fapi@lists.openid.net</a>
<a class="moz-txt-link-freetext" href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a>
</pre>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">-- 
Vladimir Dzhuvinov :: <a class="moz-txt-link-abbreviated" href="mailto:vladimir@connect2id.com">vladimir@connect2id.com</a></pre>
  </body>
</html>