<div dir="ltr"><div>It is maybe worth nothing that there was a thread on the same or similar subject on the OAuth WG list a few months ago:</div><div><br></div><div><a href="https://mailarchive.ietf.org/arch/msg/oauth/Qkz2HqOzdVM0oyDPSeOdo-iLN8E/">https://mailarchive.ietf.org/arch/msg/oauth/Qkz2HqOzdVM0oyDPSeOdo-iLN8E/</a> </div><div><br></div><div><br></div><div><br></div><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 21, 2024 at 1:17 PM Andrii Deinega via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">New issue 2154: the iat claim and clock skew issues<br>
<a href="https://bitbucket.org/openid/connect/issues/2154/the-iat-claim-and-clock-skew-issues" rel="noreferrer" target="_blank">https://bitbucket.org/openid/connect/issues/2154/the-iat-claim-and-clock-skew-issues</a><br>
<br>
Andrii Deinega:<br>
<br>
The ID Token section of the [OpenID Connect Core 1.0 \(errata set 2\) spec](<a href="https://openid.net/specs/openid-connect-core-1_0.html" rel="noreferrer" target="_blank">https://openid.net/specs/openid-connect-core-1_0.html</a>) describes the exp claim in the following way<br>
<br>
> Expiration time on or after which the ID Token MUST NOT be accepted by the RP when performing authentication with the OP. The processing of this parameter requires that the current date/time MUST be before the expiration date/time listed in the value. Implementers MAY provide for some small leeway, usually no more than a few minutes, to account for clock skew.<br>
<br>
At the same time, the description for iat claim does not say anything specific about whether the ID Token should be accepted or rejected by an RP when it gets issued in the “near“ future from its point of view \(this might happen when an RP runs into time skew issues\).<br>
<br>
I suggest clarifying these things a bit, quick research uncovered that different OpenID Connect libraries cover that in different ways \(some of them take into account small leeway for time in both iat and exp claims, others only for time in the exp claim and so forth\).<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="https://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div></div></div>

<br>
<i style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:rgb(255,255,255);font-family:proxima-nova-zendesk,system-ui,-apple-system,system-ui,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;color:rgb(85,85,85)"><span style="margin:0px;padding:0px;border:0px;outline:0px;vertical-align:baseline;background:transparent;font-family:proxima-nova-zendesk,system-ui,-apple-system,BlinkMacSystemFont,"Segoe UI",Roboto,Oxygen-Sans,Ubuntu,Cantarell,"Helvetica Neue",Arial,sans-serif;font-weight:600"><font size="2">CONFIDENTIALITY NOTICE: This email may contain confidential and privileged material for the sole use of the intended recipient(s). Any review, use, distribution or disclosure by others is strictly prohibited.  If you have received this communication in error, please notify the sender immediately by e-mail and delete the message and any file attachments from your computer. Thank you.</font></span></i>