<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Paul Tarjan<o:p></o:p></p>
<p class="MsoNormal">Breno de Medeiros<o:p></o:p></p>
<p class="MsoNormal">Marius Scurtescu<o:p></o:p></p>
<p class="MsoNormal">Andrew Wansley<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">David Recordon<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We started the call late because the OAuth working group meeting had just finished.  All the open OAuth issues were discussed and either resolved or action items were assigned to resolve them.  All but John met in person at Facebook.  Facebook
 plans to publish this an OAuth extension.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Paul wants to ship these soon:<o:p></o:p></p>
<p class="MsoNormal">               display=always, which always forces a user dialog,<o:p></o:p></p>
<p class="MsoNormal">               display=none, in which there is no user dialog, and user state is sent to the redirect URI in the fragment<o:p></o:p></p>
<p class="MsoNormal">               user state can be one of {authorized, unauthorized, unknown}<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Breno will write up a response_type=none OAuth extension, which just redirects to the redirect URI without credentials.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Marius wondered if the result should be an error, not a special result<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Facebook has two endpoints:  userinfo endpoint and access token inspection endpoint<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Paul wants the token validation endpoint to also be able to accept an access token, returning the access token as a result.  Facebook doesn’t currently send an id_token.  Breno believes this optimization is necessary.  Interop could be
 achieved by calling the calling the endpoint to get the token that way.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Breno discussed having a static endpoint containing public keys to enable dynamic client registration.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">For anti-spam purposes, Paul doesn’t want dynamic apps to be able be easily created and be spam sources.  Breno and John discussed that support for dynamic clients can be optional in the spec.  We all agreed that the method for dynamic
 registration is necessary for an OpenID spec.  This work is being deferred until later in the process when the problem is better understood.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">David questioned the adoption of Portable Contacts schemas because it’s not like what Facebook and Live are doing.  Breno asked for a concrete counter-proposal.  Mike emphasized that the primary decision was not to create a new schema. 
 Breno said that a schema identifier could be passed to the userinfo endpoint to select between data representations.  Paul likes format=OpenID when querying userinfo endpoint.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Facebook is using their signed request format documented at <a href="http://developers.facebook.com/docs/authentication/signed_request/">
http://developers.facebook.com/docs/authentication/signed_request/</a> rather than JWTs at present.  They’re worried about the switching cost at present.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">                                                            -- Mike<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>