
<div dir="ltr">I oppose to the change to MUST. <div><br></div><div>I can easily think of a scenario such that a trust framework operator (TFO) signs the request object and the relying parties who are the member of the trust framework uses it. In this case, the iss will be the TFO, and aud would not be there, as the IdPs are undetermined at the time of signing. The client_id will be Client ID then. That's why it was a SHOULD. It was a deliberate decision. We should let the deployment profiles define these and not to be too prescriptive. </div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/11/28 Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal">Core currently says:<u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span lang="EN" style="font-family:"Verdana","sans-serif"">If signed, the Request Object SHOULD contain the Claims

</span><tt><span lang="EN" style="font-size:12.0pt">iss</span></tt><span lang="EN" style="font-family:"Verdana","sans-serif""> (issuer) and

</span><tt><span lang="EN" style="font-size:12.0pt">aud</span></tt><span lang="EN" style="font-family:"Verdana","sans-serif""> (audience) as members, with their semantics being as defined in the JWT [JWT] specification.<u></u><u></u></span></p>


<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">In response to Justin’s review comment that the “iss” and “aud” values should be specified, I started to write this:<u></u><u></u></p>

<p class="MsoNormal" style="margin-left:.5in"><span lang="EN" style="font-family:"Verdana","sans-serif"">The

</span><tt><span lang="EN" style="font-size:12.0pt">iss</span></tt><span lang="EN" style="font-family:"Verdana","sans-serif""> value MUST be the Client ID of the RP.<u></u><u></u></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span lang="EN" style="font-family:"Verdana","sans-serif"">The

</span><tt><span lang="EN" style="font-size:12.0pt">aud</span></tt><span lang="EN" style="font-family:"Verdana","sans-serif""> value MUST be or include the OP's Issuer Identifier URL.<u></u><u></u></span></p>


<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">However, I then realized that the Client is already being communicated in the “client_id” request parameter, so also having it in the “iss” claim would be redundant.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I therefore propose that we explicitly say that an “iss” claim is not needed, since the Client ID identifies the request’s originator, and require that the “client_id” parameter be present in all Request Objects.  I would still add the

 sentence about the “aud” value.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Do people agree with this approach?  I agree with Justin that we do need to specify what values to use.<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">                                                                -- Mike<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

</font></span></div>

</div>


<br>_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

<br></blockquote></div><br></div>