<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); margin: 0px;" class="">Hi, FastFed authors</div><div dir="ltr" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div dir="ltr" class=""><div class=""><br class=""></div><div class="">I read thorough FastFed Core.</div><div class="">I'm looking forward to see many IdPs & SaaS Apps support it in near future.</div><div class=""><br class=""></div><div class="">As below, I have 3 comments on Core.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">#1. Sample request/response on section 4.1.2.1.2 & 4.1.3</div><div class=""><div class=""><br class=""></div><div class="">In 4.1.2.1.2, IdP returns "<a href="https://tenant-12345.idp.example.com/fastfed" class="">https://tenant-12345.idp.example.com/fastfed</a>" as its FastFed URL.</div><div class="">However, in 4.1.3, Application Provider accesses to "<a href="https://provider.example.com/fastfed/provider-metadata" class="">https://provider.example.com/fastfed/provider-metadata</a>".</div><div class="">If it's not intended, using same endpoint seems more easy to understand.</div></div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">#2. Undefined terminology in 4.1.2.1.2</div><div class=""><br class=""></div><div class="">4.1.2.1.2 uses "Issuer location".</div><div class="">I read it as FastFed URL, but couldn't find the terminology definition of "Issuer" anywhere.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">#3. Missing explicit JWT typing</div><div class=""><br class=""></div><div class="">As RFC 8725 recommends, it would be nicer if you use explicit JWT typing (e.g., application/fastfed-xxx+jwt) for each FastFed JWT messages.</div><div class=""><div class=""></div><div class=""><a href="https://tools.ietf.org/html/rfc8725#section-3.11" class="">https://tools.ietf.org/html/rfc8725#section-3.11</a></div></div><div class=""><br class=""></div><div class="">Especially, finalization request JWT format seems very simple so that any other JWT messages can be cross-used for it.</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">Thanks,</div><div class=""><br class=""></div><div class="">nov</div></div></div></div></div></div></div></div></body></html>