<div dir="ltr"><div>[re-sending to the list as I forgot to reply-all earlier before the call]</div><div><br></div><div>Hi Torsten,</div><div><br></div><div>Yes, more text would needed 
around other response types because code is the only thing described 
currently with others being out of scope - it says, 'Note: The response 
mode "jwt" can be combined with other response types, the respective 
syntax and behavior is out of scope of this draft.'</div><div><br></div><div>I'm
 not sure I agree that state needs special treatment. But regardless, as
 a general response mode, there should be more clear definition of what 
goes in the JWT and what is a normal authz response parameter and how 
it's all encoded. <br></div><div><br></div><div>Kinder regards,</div><div>Brian </div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Aug 15, 2018 at 7:29 AM Torsten Lodderstedt <<a href="mailto:torsten@lodderstedt.net">torsten@lodderstedt.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Brian,<br>
<br>
the mode can easily be combined with the grant type „token" (and the text also sketches how). One would include the response parameter access_token, token_type, expires_in, and scope in the JWT. I can also add more text on that. <br>
<br>
I think it makes sense to treat the state value special because it binds the response object to the initial transaction and can be evaluated _before_ the JWT is being processed. This is a security precaution. <br>
<br>
Kind regards,<br>
Torsten. <br>
<br>
> Am 15.08.2018 um 14:41 schrieb Brian Campbell via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>>:<br>
> <br>
> As a Response Mode, I had envisioned that all the authorization response parameters would be passed as claims of the JWT. And would be applicable to any response types. Something like that would more closely mirror OAuth JAR. And be a more generally applicable response mode. <br>
> <br>
> What is in this draft is more of a specialized treatment of the code response parameter (also state). If that's the extent of the functionality, it's probably more appropriate to be defined as a new response type (I know I suggested response mode but that was with the thinking that it'd be a generalized mode for encoding all the response params). Or, if response mode is used to signal this functionality, the mode value (and spec title) should probably be more true to what it is actually doing. Like response_mode=code_in_jwt_with_state_as_s_hash_and_other_stuff_undefined or just response_mode=jwt_code.<br>
> <br>
> <br>
> <br>
> On Thu, Aug 9, 2018 at 10:03 AM Torsten Lodderstedt via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br>
> Hi all, <br>
> <br>
> please find attached the first version of the draft on the new signed response mode (<a href="https://bitbucket.org/openid/fapi/issues/155/support-authorization-and-identity" rel="noreferrer" target="_blank">https://bitbucket.org/openid/fapi/issues/155/support-authorization-and-identity</a>). As this draft mirrors OAuth JAR (as already pointed out by Nat), I choose the name accordingly. <br>
> <br>
> Looking forward for your feedback.<br>
> <br>
> kind regards,<br>
> Torsten.<br>
> <br>
>    _______________________________________________<br>
> Openid-specs-fapi mailing list<br>
> <a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
> <br>
> CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you._______________________________________________<br>
> Openid-specs-fapi mailing list<br>
> <a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>
<br>
</blockquote></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>