Sharing your association secret from one RP to another site does not bestow any right other than &quot;now able to forge identity assertions on behalf of the OP and fool the RP&quot;.  It makes no difference to the OP what assoc_handle an RP uses as far as determining privileges to access certain attributes.<div>

<br clear="all">--<br>Andrew Arnott<br>&quot;I [may] not agree with what you have to say, but I&#39;ll defend to the death your right to say it.&quot; - Voltaire<br>
<br><br><div class="gmail_quote">On Sun, Apr 26, 2009 at 4:24 PM, Peter Williams <span dir="ltr">&lt;<a href="mailto:pwilliams@rapattoni.com">pwilliams@rapattoni.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<br>
or. im an rp and I give the association secret to my delegated rp-partner, who is now authorizd to ask for non-identity claims (given the restrictions in his RP XRDS and the nature of the association id). Lets recall, from plaxo, external association managers are now legitimate. no reason why one cannot consider oauth to be an &quot;extenrnal&quot; association manager, or a &quot;complementary&quot; association manager between RPs to faciliate rights delegation for non-identity requests/assertions.<br>


________________________________________<br>
From: <a href="mailto:general-bounces@openid.net">general-bounces@openid.net</a> [<a href="mailto:general-bounces@openid.net">general-bounces@openid.net</a>] On Behalf Of SitG Admin [<a href="mailto:sysadmin@shadowsinthegarden.com">sysadmin@shadowsinthegarden.com</a>]<br>


Sent: Sunday, April 26, 2009 3:53 PM<br>
To: Andrew Arnott<br>
Cc: <a href="mailto:general@openid.net">general@openid.net</a><br>
<div class="im">Subject: Re: [OpenID] Demo Travel/ retailshop<br>
<br>
</div><div><div></div><div class="h5">&gt;Effectively, the RP would be asking an OP &quot;I already know who this<br>
&gt;user is, but I&#39;d like to learn more about them.&quot;<br>
<br>
Could it be used for &quot;I don&#39;t care who this user is, I just want to<br>
learn more about them.&quot;?<br>
<br>
-Shade<br>
</div></div><div><div></div><div class="h5">_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
_______________________________________________<br>
general mailing list<br>
<a href="mailto:general@openid.net">general@openid.net</a><br>
<a href="http://openid.net/mailman/listinfo/general" target="_blank">http://openid.net/mailman/listinfo/general</a><br>
</div></div></blockquote></div><br></div>