<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Yes if we keep tis we need to have:<div>aud</div><div>iss</div><div>exp </div><div>and perhaps a specific typ </div><div><br></div><div>It should probably be part of a profile for using openID Connect with asymmetric signatures as an extension.</div><div><br></div><div>John B.</div><div><div><div>On 2011-08-25, at 3:53 AM, Andreas Åkre Solberg wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On 25. aug. 2011, at 06:39, John Bradley wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Yes the idea is to use JWS to avoid directly disclosing the secret as is done with basic in the symmetric key case.<div><br></div><div>OAuth dosent define a asymetric authentication to the token endpoint.</div><div><br></div><div>The plan was to define a JWT with a single claim of code that would be signed by the RP.</div></span></blockquote><div><br></div><div>OK.</div><div><br></div><div>My main point is that, I think there are security issues with that, unless you also require or reccomends that the JWT iss and aud headers are present (I don't think they are in the JWT spec).</div></div><div><br></div><div>Andreas</div></div>_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>http://lists.openid.net/mailman/listinfo/openid-specs-ab<br></blockquote></div><br></div></body></html>