Nothing about OAuth prevents an ad-hoc approach to consumer registration and so it could be used in a more decentralized way — it&#39;s just unlikely given the control that SPs (service providers) desire.<div><br></div><div>
I&#39;m confused by what you mean by &quot;centralized discovery&quot;. </div><div><br></div><div>In the model I&#39;ve espoused, an individual asserts her identity provider to a relying party or consumer; the RP or consumer inspects the provided identity and through discovery, detects where certain types of services or an authentication provider are located. Depending on the present task, authentication, authorization or both will then occur. </div>
<div><br></div><div>Identity, discovery, authentication, and authorization can be served by one or more substitutable providers. Relationships between each of these and consumers or relying parties are handled on a per-instance and revokable basis.</div>
<div><br></div><div>At least that&#39;s the working model in my head.<br><br><div class="gmail_quote">On Sat, Apr 4, 2009 at 9:43 AM, santrajan <span dir="ltr">&lt;<a href="mailto:santrajan@gmail.com">santrajan@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><br>
But OAuth is not decentralised like OpenId. We need centralized discovery and<br>
decentralized authentication. The centralised discovery will take care of<br>
the trust part.<br>
<div class="im"><br>
<br>
Chris Messina wrote:<br>
&gt;<br>
&gt; From a purely technological perspective, OpenID doesn&#39;t work in<br>
&gt; desktoclients or for APIs.<br>
&gt;<br>
&gt; This is one of the primary reasons OAuth came about: Magnolia and<br>
&gt; Twitter couldn&#39;t fully adopt OpenID without something for<br>
&gt; non-browser-based environments.<br>
&gt;<br>
&gt; OpenID &amp; OAuth are complements, not competitors. Making them work<br>
&gt; together more seamlessly where possible is driven by interface<br>
&gt; convenience, not technological superiority.<br>
&gt;<br>
&gt; Chris<br>
&gt;<br>
&gt; On 4/3/09, santrajan &lt;<a href="mailto:santrajan@gmail.com">santrajan@gmail.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Why should OpenID support OAuth at all? OpenID can stand on its own. All<br>
&gt;&gt; OpenID needs to do is address the concerns of RP&#39;s and users.<br>
&gt;&gt;<br>
&gt;<br>
&gt;<br>
<br>
</div><font color="#888888">--<br>
View this message in context: <a href="http://www.nabble.com/OAuth-SPs-don%27t-have-to-be-your-OpenID-OP-tp22879703p22883548.html" target="_blank">http://www.nabble.com/OAuth-SPs-don%27t-have-to-be-your-OpenID-OP-tp22879703p22883548.html</a><br>

</font><div><div></div><div class="h5">Sent from the OpenID - General mailing list archive at Nabble.com.<br>
<br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Chris Messina<br>Citizen-Participant &amp;<br>  Open Web Advocate<br><br><a href="http://factoryjoe.com">factoryjoe.com</a> // <a href="http://diso-project.org">diso-project.org</a> // <a href="http://vidoop.com">vidoop.com</a><br>
This email is:   [ ] bloggable    [X] ask first   [ ] private<br>
</div>