<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0);">
<div style="font-size: 14px; font-family: Calibri, sans-serif;">Hi,</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>
</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;">One minor thing, but that surprisingly is generating quite a few emails internally, is indirectly related to the configuration below (crypto-config.xml):</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>
</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;">
<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;bean id=&quot;defaultsignerService&quot; class=&quot;org.mitre.jwt.signer.service.impl.DefaultJWTSigningAndValidationService&quot;&gt;</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;constructor-arg name=&quot;keyStore&quot; ref=&quot;defaultKeyStore&quot; /&gt;</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;property name=&quot;defaultSignerKeyId&quot; value=&quot;rsa1&quot; /&gt;</div>
<div>&nbsp;<span class="Apple-tab-span" style="white-space:pre"> </span>&lt;property name=&quot;defaultSigningAlgorithmName&quot; value=&quot;RS256&quot; /&gt;</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>&lt;/bean&gt;</div>
</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>
</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;">Question: can &#8220;use&#8221;: &#8220;sig&#8221; (as defined in&nbsp;<a href="https://tools.ietf.org/html/draft-ietf-jose-json-web-key-41">https://tools.ietf.org/html/draft-ietf-jose-json-web-key-41</a>) be used as discriminator
 for the signing key? In other words, why use the key ID and algorithm?</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>
</div>
<div>If multiple keys with &#8220;use&#8221;: &#8220;sig&#8221; may be present, how does the client know which one returned from&nbsp;<span class="sObjectK" id="s-266" style="box-sizing: border-box; font-weight: 700; color: rgb(51, 51, 51); line-height: 22.8571434020996px; widows: 1;">&quot;jwks_uri&quot;</span><span class="sColon" id="s-267" style="box-sizing: border-box; color: rgb(102, 102, 102); line-height: 22.8571434020996px; widows: 1;">:</span><span class="sObjectV" id="s-268" style="box-sizing: border-box; color: rgb(85, 85, 85); line-height: 22.8571434020996px; widows: 1;">&quot;http://localhost:8080/ldap-openid-connect-server/jwk&#8221;</span>&nbsp;(from
 well-known endpoint) should be used? We&#8217;ve noticed that that endpoint seems to be returning all keys (we haven&#8217;t tested other private keys but at least for the one used for signing the private modulus is removed, as expected).&nbsp;</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;"><br>
</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;">Regards,</div>
<div style="font-size: 14px; font-family: Calibri, sans-serif;">Luiz</div>
</body>
</html>