<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi all,<div class=""><br class=""></div><div class="">I wanted to direct the FAPI working group to this discussion within the Connect working group:</div><div class=""><br class=""></div><div class=""><a href="https://bitbucket.org/openid/connect/issues/1127" class="">https://bitbucket.org/openid/connect/issues/1127</a></div><div class=""><br class=""></div><div class="">Namely that duplicate kids are not permitted in JWKS.</div><div class=""><br class=""></div><div class="">A test for this was recently added to all the conformance tests, which caused one of the UK banks to opine:</div><div class=""><br class=""></div><div class=""><blockquote type="cite" class="">it is valid for the JWK endpoint to return multiple KID instances, one for each ‘alg’ supported?<br class="">The spec calls for the alg PS256 or longer to be supported, so we also have (for instance) PS384, PS512. And although we may show a couple that we don’t need, my point is that it must be valid to show multiple key entries to support multiple valid alg values. <br class=""></blockquote><br class=""></div><div class="">To some extent this seems a reasonable point, reusing a key across across two algs that can use the same key seems ok, and arguably perhaps better than having the key once without an ‘alg’ specified.</div><div class=""><br class=""></div><div class="">As this affects the FAPI certification tests, I wanted to check the FAPI WG agrees with the decision in <a href="https://bitbucket.org/openid/connect/issues/1127" class="">https://bitbucket.org/openid/connect/issues/1127</a> - any opinions (positive & negative) would be great please.</div><div class=""><br class=""></div><div class="">Thanks</div><div class=""><br class=""></div><div class="">Joseph Heenan</div><div class="">OpenID Certification Team</div><div class=""><br class=""></div><div class=""><br class=""></div></body></html>