<div dir="ltr"><div style="font-size:12.8px">Hi Folks,</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I have worked with JWT bearer grant a while back and a question always nagged me. I think this is the right list to ask since I came across many blogs giving examples of OpenID connect token used as a JWT bearer grant.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Is it semantically correct to use the OpenId connect id_token as a JWT bearer grant?</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><p style="margin:0px 0px 1em;padding:0px;border:0px;font-size:15px;clear:both;color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;line-height:19.5px">According to the <a href="https://tools.ietf.org/html/draft-ietf-oauth-jwt-bearer-12#section-3.1" rel="nofollow" target="_blank" style="color:rgb(27,96,138);margin:0px;padding:0px;border:0px;text-decoration:none">OAuth JWT Bearer grant spec</a>, a valid JWT should have some sort of identifier (token endpoint may be used) of the token issuing authorization server within the audience claim.</p><blockquote style="margin:0px 0px 10px;padding:10px;border-width:0px 0px 0px 2px;border-left-style:solid;border-left-color:rgb(255,235,142);font-size:15px;quotes:none;color:rgb(36,39,41);font-family:Arial,"Helvetica Neue",Helvetica,sans-serif;line-height:19.5px;background-color:rgb(255,249,227)"><p style="margin:0px;padding:0px;border:0px;clear:both">The JWT MUST contain an "aud" (audience) claim containing a value that identifies the authorization server as an intended audience. The token endpoint URL of the authorization server MAY be used as a value for an "aud" element to identify the authorization server as an intended audience of the JWT. The Authorization Server MUST reject any JWT that does not contain its own identity as the intended audience In the absence of an application profile specifying otherwise, compliant applications MUST compare the audience values using the Simple String Comparison method defined in Section 6.2.1 of RFC 3986 [RFC3986]. As noted in Section 5, the precise strings to be used as the audience for a given Authorization Server must be configured out-of-band by the Authorization Server and the Issuer of the JWT.</p></blockquote></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">So if we use the OpenID Connect id token as a JWT bearer grant we need to have a mechanism or a standard way to request a token with to be given to a specific OAuth token issuer. Is this possible with OpenID connect token?<br><br></div><div style="font-size:12.8px">Thanks,</div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr" style="color:rgb(136,136,136);font-size:12.8px"><div><div><div>Farasath Ahamed<br></div>Software Engineer, <span style="font-size:12.8px">WSO2 Inc.; </span><a href="http://wso2.com/" target="_blank" style="font-size:12.8px;color:rgb(17,85,204)">http://wso2.com</a></div><div><span style="font-size:12.8px">Mobile: </span><a href="tel:%2B94777603866" value="+94713149860" style="font-size:12.8px;color:rgb(17,85,204)" target="_blank">+94777603866</a><br></div></div><div>Blog: <a href="http://blog.farazath.com" target="_blank">blog.farazath.com</a></div></div><div><span style="color:rgb(136,136,136);font-size:12.8px">Twitter: <a href="https://twitter.com/farazath619" target="_blank">@farazath619</a></span><br></div><div><br></div><div><img src="http://c.content.wso2.com/signatures/wso2-signature-general.png"><br></div><div><br></div></div></div></div></div></div></div></div></div></div></div>
</div>