<div dir="ltr"><div><a href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/585e168fcc5d89bbb0e0908ecf2d7498982aac9f/draft-mobile-client-initiated-backchannel-authentication.xml#registration" target="_blank">Sec 4 of the latest CIBA draft from source</a> on Polling and Pairwise Identifiers says that "it is MANDATORY for the Client to authenticate the token endpoint using one of this two mechanisms" and then cites "Mutual TLS as defined in section 3 <a href="https://tools.ietf.org/html/draft-ietf-oauth-mtls-07#section-3" target="_blank">Mutual TLS Sender Constrained Resources Access</a> of the <a href="https://xml2rfc.tools.ietf.org/cgi-bin/xml2rfc.cgi?Submit=Submit&format=ascii&mode=html&type=ascii&url=https://bitbucket.org/openid/mobile/raw/585e168fcc5d89bbb0e0908ecf2d7498982aac9f/draft-mobile-client-initiated-backchannel-authentication.xml#I-D.ietf-oauth-mtls" class="m_4624821219356371478gmail-xref" target="_blank">[I-D.ietf-oauth-mtls]</a>" as one of the mechanisms. However, section 3 of the OAuth MTLS draft isn't about client authentication so pointing to it in that context doesn't really make sense.<br></div><div><br></div><div>Mutual TLS for OAuth Client Authentication is defined in <a href="https://tools.ietf.org/html/draft-ietf-oauth-mtls-09#section-2" target="_blank">section 2 of that document</a> and more specifically the <a href="https://tools.ietf.org/html/draft-ietf-oauth-mtls-09#section-2.2" target="_blank">Self-Signed Certificate Mutual TLS OAuth Client Authentication Method is defined in sec 2.2</a> and is probably the more appropriate reference here because it (potentially) makes use of the client's jwks_uri.<br> <br></div><div>Also just noticed that the "this" should be "these" in that first sentence quoted. <br></div><div><br></div><div>I-D.ietf-oauth-mtls is at draft -09 now (rather than -07) and hopefully a real RFC soon (by IETF time anyway).  <br></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>