
<div dir="ltr">Hi. <div><br></div><div>You can always put exp claim in the JWT. </div><div>In some cases, you might not want to put explicit expiry date to the request object, so it was not made to be a mandatory claim. </div>

<div><br></div><div>Cheers, </div><div><br></div><div>Nat</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-06-13 6:26 GMT+09:00 Udo Neitzel <span dir="ltr"><<a href="mailto:mail@udoneitzel.de" target="_blank">mail@udoneitzel.de</a>></span>:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<br>

I'm currently implementing an OpenID Connect Server and<br>

I have a little issue regarding an authorization-request using<br>

a JWT.<br>

<br>

openid-connect-core-1_0, section 9, declares the parameter "exp"<br>

as required. The expiration time refers to the ID Token:<br>

<br>

<br>

   "REQUIRED. Expiration time on or after which the ID Token MUST NOT be accepted for processing"<br>

<br>

<br>

draft-ietf-oauth-jwt-bearer-<u></u>09, section 3, refers to the JWT of the request:<br>

<br>

"The JWT MUST contain an "exp" (expiration) claim that limits the time window during which the JWT can be used.<br>

The authorization server MUST verify that the expiration time has not passed".<br>

<br>

In my opinion the OpenID Connect specification should also say request-token, not ID Token.<br>

It makes sense to limit the lifetime of the request-object in order to limit the time it could be<br>

reused. After the expiration time stored JWT-IDs can be discarded.<br>

<br>

... or did I get this wrong?<br>

<br>

<br>

<br>

Regards,<br>

<br>

  Udo Neitzel<br>

______________________________<u></u>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<u></u>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<u></u>mailman/listinfo/openid-specs-<u></u>ab</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div>