
<div dir="ltr">And the other limitation I found was - in OpenID Connect request client cannot suggest an audience value for the ID token...possibly this is beyond OpenID Connect or may be a different profile..?<div><br></div>

<div>Thanks & regards,</div><div>-Prabath</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jun 5, 2014 at 11:13 AM, Prabath Siriwardena <span dir="ltr"><<a href="mailto:prabath@wso2.com" target="_blank">prabath@wso2.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>I have the following SOAP use case...</div><div><br></div><div>1. Using WS-Trust - I authenticate to the STS - and get a SAML Bearer Token with the required set of claims..</div>

<div>2. I use this as a supporting token to access a SOAP service.</div>

<div>3. SOAP service will validate the signature of the SAML token and if it is valid - I will be able to access it.</div><div><br></div><div>Now I am thinking of implementing the same in the following manner for REST APIs.</div>


<div><br></div><div>1. Using OpenID Connect talk to the token endpoint with client credential grant type and get a signed ID token with the required set of claims.</div><div>2. Set the JWT token in an HTTP header and talk to the secured API.</div>


<div>3. API should validate the signature of the JWT and if its valid and if it trusts the issuer - should let me in.</div><div><br></div><div>But - I find some limitations in spec to implement my REST use case.</div><div>


<br></div><div>1. OpenID Connect specification does not talk about client credentials grant type ? at the same time it does not say its a MUST to use authorization code or implicit.</div><div><br></div><div>2. AFAIK there is no HTTP binding to pass a JWT - please let me know if there is any?</div>


<div><br></div><div>Appreciate your thoughts on this...</div><div><br><br>Thanks & Regards,<br>Prabath<br><br>Twitter : @prabath<br>LinkedIn : <a href="http://www.linkedin.com/in/prabathsiriwardena" target="_blank">http://www.linkedin.com/in/prabathsiriwardena</a><br>


<br>Mobile : <a href="tel:%2B94%2071%20809%206732" value="+94718096732" target="_blank">+94 71 809 6732</a><br><br><a href="http://blog.facilelogin.com" target="_blank">http://blog.facilelogin.com</a><br><a href="http://blog.api-security.org" target="_blank">http://blog.api-security.org</a><br>

</div></div></div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Thanks & Regards,<br>Prabath<div><br></div><div>Twitter : @prabath</div><div>LinkedIn : <a href="http://www.linkedin.com/in/prabathsiriwardena" target="_blank">http://www.linkedin.com/in/prabathsiriwardena</a><br>

<br>Mobile : +94 71 809 6732<br><br><a href="http://blog.facilelogin.com" target="_blank">http://blog.facilelogin.com</a><br><a href="http://blog.api-security.org" target="_blank">http://blog.api-security.org</a></div></div>


</div>