Dúvida sobre obrigatoriedade de Content-type para URLs do JWS e JKU

[rafaelchagasb]

De acordo com o manual, o conteúdo da URL de Payload do QRCode Dinâmico será um JWS.
E no conteúdo do JWS será disponibilizada uma URL do JKU.

Nos dois casos, o Content-type para consumir esses conteúdos é obrigatório?

Percebi que algumas instituições estão respondendo um conteúdo diferente no caso do JKU quando o Content-type não é passado ou quando o Content-type é diferente do JSON.

[dmkamers]

Na RFC7515 (JWS):
9.2. Media Type Registration
9.2.1. Registry Contents
This section registers the "application/jose" media type [RFC2046] in the "Media Types" registry [IANA.MediaTypes]..., which can be used to indicate that the content is a JWS ... using the JWS Compact Serialization ...

Talvez seja o caso de fechar explicitamente no Manual de Segurança.
Pensando em interoperabilidade me parece muito ruim não seguir esta orientação.

[rubenskuhl]

@dmkamers a expectativa é que o application/jose seja mostrado pelo servidor, solicitado pelo cliente ou ambos ?

[dmkamers]

@rubenskuhl como content-type não é obrigatório, minha expectativa seria de que o servidor retornasse sempre exatamente e apenas application/jose neste caso especifico (e json no keySet salvo engano). Talvez na grande teia selvagem seja querer demais (pra descontrair...). Acho que o contexto requer que as especificações sejam mais incisivas, mas isto traz riscos também. O feedback da comunidade, dos implementadores, é importante.

[rubenskuhl]

Postei no #188 os content-type retornados nos QR-Codes lá presentes