<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On 29. aug. 2011, at 03:49, sakimura wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">Just a little bit of history behind it.<br></span></blockquote><div><br></div><div>Ah.. Thanks a lot. I was not aware of this.</div><br><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">The Section 3.1.5 of the REDIRECT had JSS (<a href="http://jsonenc.info/jss/1.0/">http://jsonenc.info/jss/1.0/</a><span class="Apple-converted-space"> </span>)<br>instead of JWT before. JSS has only one way and a MUST field called<br>certs_uri. Since it is a PEM encoded X.509 certs, it does have iss etc.<br>encoded into it.<br><br>When we replaced JWS with JWT we lost this property.<br>Therefore, we had to specify them but we have not yet done.<br><br>The question then is: do we want to define how to validate iss etc. as well?<br></span></blockquote><div><br></div><div>I believe this will become more clear when we have a (yet to be spec'ed) metadata format for OpenID Connect.</div><div><br></div><div>I assume the issuer identifier will be important for the provider metadata entry; and that validation on the client would be to perform a strict string comparison with the trusted metadata?</div><br><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">OR shall we just rely on X.509 PKI?<br></span></blockquote><div><br></div><div>I would strongly suggest that we do not consider x.509 as the only usable alternative.</div><div>After some years with real life experience with SAML federations and humans and openssl, gnutls and various certificates; I am very open to deal with plain keys.</div><div><br></div><div>Andreas</div><div><br></div></div></body></html>