<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On 1. sep. 2011, at 09:09, nov matake wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "># Step 3. Token Request<br><br>[Request]<br>* POST /token?grant_type=<a href="http://oauth.net/grant_type/jwt/1.0/bearer&jwt=YOUR_ID_TOKEN">http://oauth.net/grant_type/jwt/1.0/bearer&jwt=YOUR_ID_TOKEN</a></span></blockquote></div><br><div>I think your proposal is interesting.</div><div><br></div><div>However one showstopper that I see is the following text from the spec:</div><div><br></div><div><blockquote type="cite"><span class="Apple-style-span" style="font-family: verdana, charcoal, helvetica, arial, sans-serif; font-size: small; ">The JWT MUST contain an <tt style="color: rgb(0, 51, 102); font-family: 'Courier New', Courier, monospace; font-size: small; ">aud</tt> (audience) claim containing a URI reference that identifies the authorization server as the intended audience. The authorization server MUST verify that it is an intended audience for the JWT.</span></blockquote><br></div><div>An ID Token is issued by the authorization to the OP, and the audience would then NOT be including the authorization server.</div><div><br></div><div>Andreas</div></body></html>