You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
De acordo com o manual, o conteúdo da URL de Payload do QRCode Dinâmico será um JWS.
E no conteúdo do JWS será disponibilizada uma URL do JKU.
Nos dois casos, o Content-type para consumir esses conteúdos é obrigatório?
Percebi que algumas instituições estão respondendo um conteúdo diferente no caso do JKU quando o Content-type não é passado ou quando o Content-type é diferente do JSON.
The text was updated successfully, but these errors were encountered:
Na RFC7515 (JWS):
9.2. Media Type Registration
9.2.1. Registry Contents
This section registers the "application/jose" media type [RFC2046] in the "Media Types" registry [IANA.MediaTypes]..., which can be used to indicate that the content is a JWS ... using the JWS Compact Serialization ...
Talvez seja o caso de fechar explicitamente no Manual de Segurança.
Pensando em interoperabilidade me parece muito ruim não seguir esta orientação.
@rubenskuhl como content-type não é obrigatório, minha expectativa seria de que o servidor retornasse sempre exatamente e apenas application/jose neste caso especifico (e json no keySet salvo engano). Talvez na grande teia selvagem seja querer demais (pra descontrair...). Acho que o contexto requer que as especificações sejam mais incisivas, mas isto traz riscos também. O feedback da comunidade, dos implementadores, é importante.
De acordo com o manual, o conteúdo da URL de Payload do QRCode Dinâmico será um JWS.
E no conteúdo do JWS será disponibilizada uma URL do JKU.
Nos dois casos, o Content-type para consumir esses conteúdos é obrigatório?
Percebi que algumas instituições estão respondendo um conteúdo diferente no caso do JKU quando o Content-type não é passado ou quando o Content-type é diferente do JSON.
The text was updated successfully, but these errors were encountered: