<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I agree with Nat.<div><br></div><div>We don't want to duplicate OAuth specs.   If you think we are mistakenly constraining it then we can try and clean that up.</div><div><br></div><div>John<br><div><div>On 2011-09-28, at 9:21 PM, Nat Sakimura wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">I think it does. OAuth allows access_token to be used in HTTP header, GET param, and POST param (body), and the text goes "<span class="Apple-style-span" style="font-family: verdana, charcoal, helvetica, arial, sans-serif; background-color: rgb(255, 255, 255); ">Access tokens sent in the authorization header must be <a class="info" href="http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bearer" style="font-weight: bold; position: relative; z-index: 24; text-decoration: none; color: rgb(153, 0, 0); background-color: transparent; ">Bearer tokens</a>[OAuth.2.0.Bearer]. If the client is using the HTTP GET method, it SHOULD send the access token in the authorization header.</span><span class="Apple-style-span" style="font-family: verdana, charcoal, helvetica, arial, sans-serif; background-color: rgb(255, 255, 255); ">" so it is saying: </span><div>
<font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif"><br></font></div><div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif">1. If the access_token is sent in the HTTP header, it has to use the Bearer tokens scheme. </font></div>
<div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif">2. If the request is GET, it has to use HTTP header to send the access_token. </font></div><div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif">(3. Implicitly, because OAuth allows - do as the OAuth says for the POST, i.e., Body.) </font></div>
<div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif"><br></font></div><div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif">Are you suggesting that we should add 3. so that people does not have to read <span class="Apple-style-span" style="background-color: rgb(255, 255, 255); ">OAuth.2.0.Bearer? </span></font></div>
<div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif"><br></font></div><div><font class="Apple-style-span" face="verdana, charcoal, helvetica, arial, sans-serif">=nat<br></font><div><br>
</div><div><br><br><div class="gmail_quote">On Thu, Sep 29, 2011 at 7:27 AM, Anthony Nadalin <span dir="ltr"><<a href="mailto:tonynad@microsoft.com">tonynad@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">






<div lang="EN-US" link="blue" vlink="purple">
<div><p class="MsoNormal">In <a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19" target="_blank">
http://openid.net/specs/openid-connect-standard-1_0.html#anchor19</a> it does not call out the use of the body as an option for the access token, since access tokens can get large there may be issues using only the header, the bearer token specification allows
 usage of the body, so should the openid standard specification.<u></u><u></u></p>
</div>
</div>

<br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>

</div></div>
_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>http://lists.openid.net/mailman/listinfo/openid-specs-ab<br></blockquote></div><br></div></body></html>