<html><body bgcolor="#FFFFFF"><div>This is kind of interesting that it exactly is the opposit behavior than what OpenID currently does. </div><div><br></div><div>Why is it so? </div><div><br></div><div>It probably is because in OpenID, the data always travels as Identity assertion, while in OAuth, the data is decoupled from the user. (It actually is why OAuth hybrid were not affected by the bug of OAuth 1.0)</div><div><br></div><div>Would you think this would impact the ab spec? IMHO it dies not.  <br><br>=nat @ Mountain View via iPhone</div><div><br>Begin forwarded message:<br><br></div><blockquote type="cite"><div><b>差出人:</b> Dick Hardt <<a href="mailto:dick.hardt@gmail.com">dick.hardt@gmail.com</a>><br><b>日時:</b> 2010年5月25日 03:18:04JST<br><b>宛先:</b> Eran Hammer-Lahav <<a href="mailto:eran@hueniverse.com">eran@hueniverse.com</a>><br><b>Cc:</b> "OAuth WG \(<a href="mailto:oauth@ietf.org">oauth@ietf.org</a>\)" <<a href="mailto:oauth@ietf.org">oauth@ietf.org</a>><br><b>件名:</b> <b>Re: [OAUTH-WG] 'immediate' without identity</b><br><br></div></blockquote><div></div><blockquote type="cite"><div><span></span><br><span>On 2010-05-24, at 8:55 AM, Eran Hammer-Lahav wrote:</span><br><span></span><br><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><blockquote type="cite"><span>-----Original Message-----</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>From: Dick Hardt [mailto:dick.hardt@gmail.com]</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Sent: Monday, May 24, 2010 7:35 AM</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>To: Eran Hammer-Lahav</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Cc: OAuth WG (<a href="mailto:oauth@ietf.org">oauth@ietf.org</a>)</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Subject: Re: [OAUTH-WG] 'immediate' without identity</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>You were looking for use cases for immediate without identity.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>I agree that *if* the client does know the user, then it should tell the server.</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Are you saying that if the client does not know the user it should not use</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>immediate?</span><br></blockquote></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>I think the server should reject an immediate request without a username. Otherwise the server will be giving the client an access token that belongs to another user.</span><br></blockquote><span></span><br><span>Now I understand. I agree.</span><br><span></span><br><span>-- Dick</span><br><span></span><br><span>_______________________________________________</span><br><span>OAuth mailing list</span><br><span><a href="mailto:OAuth@ietf.org">OAuth@ietf.org</a></span><br><span><a href="https://www.ietf.org/mailman/listinfo/oauth">https://www.ietf.org/mailman/listinfo/oauth</a></span><br></div></blockquote></body></html>