<div dir="ltr"><div dir="ltr">I think the text in 12.1 is just unclear, I believe it is referring to the values of the metadata parameter `<span style="background-color:rgb(249,249,249);font-family:"Roboto Mono",monospace;font-size:13.3px">subject_syntax_types_supported`</span>. When the subject syntax type is <span style="background-color:rgb(249,249,249);font-family:"Roboto Mono",monospace;font-size:13.3px">"urn:ietf:params:oauth:jwk-thumbprint"</span> then <span style="background-color:rgb(249,249,249);font-family:"Roboto Mono",monospace;font-size:13.3px">"sub": "NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs" </span>is allowed, at least in the current implementers draft.</div><div dir="ltr"><br></div><div dir="ltr">That said, I'm wondering if there's some updates likely to happen that will change this and make all the references to and examples of thumbprints use the more formal jwk-thumbprint urn prefix for the sub value so that it is always required to be a URI. (cc <a class="gmail_plusreply" id="plusReplyChip-0">@kristina)</a></div><div dir="ltr"><br></div><div dir="ltr">Jer<br><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Dec 8, 2022 at 1:43 AM Nikos Fotiou via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="msg-4191692121820710165"><div lang="EL" style="overflow-wrap: break-word;"><div class="m_-4191692121820710165WordSection1"><p class="MsoNormal"><span lang="EN-US">Hi,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">In siop v2 (<a href="https://openid.net/specs/openid-connect-self-issued-v2-1_0.html#name-self-issued-id-token" target="_blank">https://openid.net/specs/openid-connect-self-issued-v2-1_0.html#name-self-issued-id-token</a>) when it comes to the “self-issued ID Token” section 12 says:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">“sub[…]When Subject Syntax Type is JWK Thumbprint, the value is the base64url encoded representation of the thumbprint of the key in the sub_jwk Claim”<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Then, a example follows where the “sub” claim is indeed a base64url encoded representation of key thumbprint. However, in section 12.1 the text says:<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">“The RP MUST identify which Subject Syntax Type is used based on the URI of the sub Claim. Valid values defined in this specification are urn:ietf:params:oauth:jwk-thumbprint for JWK Thumbprint Subject Syntax Type and did: for Decentralized Identifier Subject Syntax Type”<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">This confuses me. Which of the following is the correct syntax for the sub claim when Subject Syntax Type is JWK Thumbprint: <u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">"sub": "NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs",<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Or<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">"sub": "urn:ietf:params:oauth:jwk-thumbprint:NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs",<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">Best,<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Nikos<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="EN-US">--------<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Nikos Fotiou - </span><a href="https://www.fotiou.gr" target="_blank"><span lang="EN-US" style="color:rgb(5,99,193)">https://www.fotiou.gr</span></a><span lang="EN-US"><u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Researcher - Mobile Multimedia Laboratory<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US">Athens University of Economics and Business<u></u><u></u></span></p><p class="MsoNormal"><a href="https://mm.aueb.gr/" target="_blank"><span style="color:rgb(5,99,193)">https://mm.aueb.gr</span></a><u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p></div></div>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="https://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</div></blockquote></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>