Yes. To be exact, other than <tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace;background-color:rgb(255,255,255)">HS256</tt><span style="font-family:verdana,charcoal,helvetica,arial,sans-serif;background-color:rgb(255,255,255)">, </span><tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace;background-color:rgb(255,255,255)">HS384</tt><span style="font-family:verdana,charcoal,helvetica,arial,sans-serif;background-color:rgb(255,255,255)">, or </span><tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace;background-color:rgb(255,255,255)">HS512.</tt><br>
<br><div class="gmail_quote">On Thu, Aug 16, 2012 at 4:37 PM, Roland hedberg <span dir="ltr"><<a href="mailto:roland@catalogix.se" target="_blank">roland@catalogix.se</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">OK, so I can answer my own question :-/<br>
<br>
According to <a href="http://openid.net/specs/openid-connect-messages-1_0.html" target="_blank">http://openid.net/specs/openid-connect-messages-1_0.html</a><br>
section 5.2 bullet point 6 :<br>
<br>
For other Signing algorithms, the Client must use the signing key<br>
provided in Discovery by the Issuer. The issuer must exactly match the<br>
value of the iss (issuer) Claim.<br>
<br>
I guess other refers to other then HMAC.<br>
<br>
</div>Room for a new test case :-)<br>
<div class="im HOEnZb"><br>
-- Roland<br>
<br>
Roland Hedberg skrev 2012-08-16 09:31:<br>
</div><div class="HOEnZb"><div class="h5">> Hi!<br>
><br>
> I've just encountered this problem and I'm not sure we've decided how to<br>
> cope with it.<br>
><br>
> The example is with Edmund's OP but that is immaterial, I have the same<br>
> problem with other OPs.<br>
><br>
> When my RP gathers information about the OP, that information has an<br>
> issuer. In Edmund's case "<a href="https://connect.openid4.us/" target="_blank">https://connect.openid4.us/</a>".<br>
><br>
> My RP then gathers the keys published by the OP and stores them as owned<br>
> by the issuer.<br>
><br>
> Later I get an ID Token from the OP with 'iss' defined as<br>
> '<a href="https://connect.openid4.us/abop" target="_blank">https://connect.openid4.us/abop</a>' which is not the same as the 'owner'<br>
> of the OPs keys.<br>
><br>
> So, what to do ?<br>
><br>
> Am I supposed to do a leading substring match with the OP information<br>
> issuer or am I to check against the endpoints of the OP or is the<br>
> assumption that the issuer of the OP information should be the same as<br>
> the issuer of the ID Token ?<br>
><br>
> -- Roland<br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
><br>
><br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
<br>