
<div dir="ltr">Sorry, I’m probably failing to understand because I’m a crypto moron, but if I want to use keys to validate a JWT allegedly from <a href="http://example.com">example.com</a>, I’m not going to believe anything in the JWT until I’ve checked using <a href="http://example.com">example.com</a>’s keys, so why should I believe the JWT’s assertion about where to get the keys to validate it?  -T<br>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Apr 2, 2013 at 11:27 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Yes, that’s exactly it.  If you already know where the keys are or what they are (for instance, if you’ve established that information at registration time),

 there’s no need to use these parameters.  But for some use cases, this is valuable information that can be dynamically provided.  (The Key ID (“kid”) can also be dynamically provided, if appropriate to the use case.)<u></u><u></u></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                                -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>]

<b>On Behalf Of </b>Tim Bray<br>

<b>Sent:</b> Tuesday, April 02, 2013 11:19 AM<br>

<b>To:</b> <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>><br>

<b>Subject:</b> [Openid-specs-ab] jku and x5u<u></u><u></u></span></p><div class="im">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">Almost certainly I’m just missing something obvious, but I’m having trouble understanding why the jku and x5u header claims exist.  The idea is I get a message and believe the message’s assertion about where I should go to get the cert

 to validate the message?  -T<u></u><u></u></p>

</div>

</div></div>

</div>


</blockquote></div><br></div>