<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Title" content="">
<meta name="Keywords" content="">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:Calibri;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:Calibri;
color:windowtext;}
span.msoIns
{mso-style-type:export-only;
mso-style-name:"";
text-decoration:underline;
color:teal;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style>
</head>
<body bgcolor="white" lang="EN-US" link="blue" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Well, which “kid” value should we look for? I checked the <root>/.well-known/openid-configuration and although it lists the jwk endpoint we couldn’t find the “kid” anywhere. Does it mean this info has to be transmitted offline?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">{<o:p></o:p></p>
<p class="MsoNormal"> "keys":[<o:p></o:p></p>
<p class="MsoNormal"> {<o:p></o:p></p>
<p class="MsoNormal"> "alg":"RS256",<o:p></o:p></p>
<p class="MsoNormal"> "e":"xxx",<o:p></o:p></p>
<p class="MsoNormal"> "n":"xxx”,<o:p></o:p></p>
<p class="MsoNormal"> "kty":"RSA",<o:p></o:p></p>
<p class="MsoNormal"> "use":"enc",<o:p></o:p></p>
<p class="MsoNormal"> <b><span style="color:red">"kid":"mc.duke.edu"</span><o:p></o:p></b></p>
<p class="MsoNormal"> },<o:p></o:p></p>
<p class="MsoNormal"> {<o:p></o:p></p>
<p class="MsoNormal"> "e":"xxx",<o:p></o:p></p>
<p class="MsoNormal"> "n":"xxx”,<o:p></o:p></p>
<p class="MsoNormal"> "kty":"RSA",<o:p></o:p></p>
<p class="MsoNormal"> <b><span style="color:red">"kid":"Test1"</span><o:p></o:p></b></p>
<p class="MsoNormal"> },<o:p></o:p></p>
<p class="MsoNormal"> {<o:p></o:p></p>
<p class="MsoNormal"> "e":"xxx",<o:p></o:p></p>
<p class="MsoNormal"> "n":"xxx”,<o:p></o:p></p>
<p class="MsoNormal"> "kty":"RSA",<o:p></o:p></p>
<p class="MsoNormal"> <b><span style="color:red">"kid":"Test2"</span><o:p></o:p></b></p>
<p class="MsoNormal"> },<o:p></o:p></p>
<p class="MsoNormal"> {<o:p></o:p></p>
<p class="MsoNormal"> "e":"xxx",<o:p></o:p></p>
<p class="MsoNormal"> "n":"xxx",<o:p></o:p></p>
<p class="MsoNormal"> "kty":"RSA",<o:p></o:p></p>
<p class="MsoNormal"> <b><span style="color:red">"kid":"rsa1"</span><o:p></o:p></b></p>
<p class="MsoNormal"> }<o:p></o:p></p>
<p class="MsoNormal"> ]<o:p></o:p></p>
<p class="MsoNormal">} <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="color:black">From: </span></b><span style="color:black">"yannick.beot@gmail.com" <yannick.beot@gmail.com><br>
<b>Date: </b>Tuesday, October 11, 2016 at 12:16 PM<br>
<b>To: </b>Luiz Omori <luiz.omori@duke.edu>, "mitreid-connect@mit.edu" <mitreid-connect@mit.edu><br>
<b>Subject: </b>RE: [mitreid-connect] JWT Signatures - which public key?</span><span style="font-size:12.0pt;color:black"><o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-family:"Times New Roman""><o:p> </o:p></span></p>
</div>
<p class="MsoNormal">There is a key id present in the header that is interpreted by Nimbus:
<a href="https://urldefense.proofpoint.com/v2/url?u=https-3A__tools.ietf.org_html_rfc7515-23section-2D4.1.4&d=CwMFaQ&c=imBPVzF25OnBgGmVOlcsiEgHoG1i6YHLR0Sj_gZ4adc&r=R6m41WT3w_KtulQAsSIxc_C2mwuKoWSycEMpss0QQJA&m=946nVG8V76cufZ4NS83yWjsqNfm4xIW2uP9rsciX32I&s=HLXHrA80eziVyXZG3UyPxIKg-x7A1JpFPBB-62UILWw&e=">
https://tools.ietf.org/html/rfc7515#section-4.1.4</a><o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">You should use it to differentiate the keys.<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Envoyé de mon téléphone Windows 10<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b>De : </b><a href="mailto:luiz.omori@duke.edu">Luiz Omori</a><br>
<b>Envoyé le :</b>mardi 11 octobre 2016 18:04<br>
<b>À : </b><a href="mailto:mitreid-connect@mit.edu">mitreid-connect@mit.edu</a><br>
<b>Objet :</b>[mitreid-connect] JWT Signatures - which public key?<o:p></o:p></p>
</div>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">In our implementation, the RS upon receiving a request it first validates the access token signature locally before introspecting it. To perform the signature validation we use a previously retrieved public key. The issue we are facing
is that in our case the <root>/jwk endpoint is returning multiple keys. How do we figure out which one should be used? Should we check the “use” field? If yes, is there a standard value to check for? <o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal">Regards,<o:p></o:p></p>
<p class="MsoNormal">Luiz<o:p></o:p></p>
<p class="MsoNormal"> <o:p></o:p></p>
</div>
</body>
</html>