<div dir="ltr">Hello everyone,<br><div><br></div><div>I'm excited for FAPI 2.0 to hopefully reach Final status soon, and I've been getting into some implementation details for authorization servers (<a href="https://openid.bitbucket.io/fapi/fapi-security-profile-2_0.html#section-5.3.2.1" target="_blank">section 5.3.2.1</a>), which has raised a few questions:<br></div><div><br></div>1. Item 13 discusses the clock skew that 
authorization servers should account for when validating iat and nbf 
claims of JWTs. Which JWTs need to be handled in this way? <br><div>- private_key_jwt authentication <br></div><div>- dpop proof tokens</div>- access tokens that happen to be JWTs (used at e.g., the userinfo or introspection endpoint)<br><div>-
 JAR request objects, if you're using them. Even though the section on 
differences with FAPI 1 suggests that PAR replaces JAR in FAPI 2, it is 
valid to combine them and not as far as I can tell not prohibited.</div><div>- ID tokens being passed as an id_token_hint</div><div><br></div><div>2. Why is exp not handled similarly? <br></div><div><br></div><div>3. What's the intention of item 10 saying "may"? I take it as a suggestion, but not a strict requirement.<br></div><div><br></div>Thanks very much,<br>Joe DeCock<div class="gmail-adL"><br></div><div style="margin-left:40px"><div class="gmail-adL"><br></div></div></div>