<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Standard currently says in the access_token description in
<a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19">6.1</a>:  “If the client is using the HTTP GET method, it SHOULD send the access token in the authorization header.”  I would add to this:  “The access_token MAY alternatively be sent
 in the message body, as described in the OAuth.2.0.Bearer specification.”<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">                                                                           -- Mike<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: sakimura [mailto:sakimura@gmail.com] <br>
Sent: Thursday, September 29, 2011 1:29 AM<br>
To: Mike Jones<br>
Cc: Anthony Nadalin; openid-specs-ab@lists.openid.net<br>
Subject: RE: [Openid-specs-ab] UserInfo Request</p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">That's our intention from the beginning so the text apparently is not  working.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Perhaps could you suggest a text?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I will make a ticket at issue tracker.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">=nat<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">On Thu, 29 Sep 2011 03:00:37 +0000, Mike Jones wrote:<o:p></o:p></p>
<p class="MsoPlainText">> I agree with Tony here. He and I both read the Basic and Standard
<o:p></o:p></p>
<p class="MsoPlainText">> specs to see if the parameter could be passed in the body, and to both
<o:p></o:p></p>
<p class="MsoPlainText">> of us, it appeared that OpenID Connect (as a profile of OAuth 2.0) was
<o:p></o:p></p>
<p class="MsoPlainText">> intentionally ruling this out.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Nat, could you maybe add an issue in the issue tracker to clean up
<o:p></o:p></p>
<p class="MsoPlainText">> this language, at least in the Standard spec, to make it clear that
<o:p></o:p></p>
<p class="MsoPlainText">> all the OAuth 2.0 parameter passing methods can be used? (Breno should
<o:p></o:p></p>
<p class="MsoPlainText">> like this too. J)<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>  Thanks,<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>  -- Mike<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> FROM: openid-specs-ab-bounces@lists.openid.net<o:p></o:p></p>
<p class="MsoPlainText">> [mailto:openid-specs-ab-bounces@lists.openid.net] ON BEHALF OF Anthony
<o:p></o:p></p>
<p class="MsoPlainText">> Nadalin<o:p></o:p></p>
<p class="MsoPlainText">>  SENT: Wednesday, September 28, 2011 7:52 PM<o:p></o:p></p>
<p class="MsoPlainText">>  TO: Nat Sakimura<o:p></o:p></p>
<p class="MsoPlainText">>  CC: openid-specs-ab@lists.openid.net<o:p></o:p></p>
<p class="MsoPlainText">>  SUBJECT: Re: [Openid-specs-ab] UserInfo Request<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> I think it's confusing the way it reads as it does not give me an
<o:p></o:p></p>
<p class="MsoPlainText">> option to use the OAUTH Core, so how would I know????<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> FROM: Nat Sakimura [mailto:sakimura@gmail.com]<o:p></o:p></p>
<p class="MsoPlainText">>  SENT: Wednesday, September 28, 2011 5:21 PM<o:p></o:p></p>
<p class="MsoPlainText">>  TO: Anthony Nadalin<o:p></o:p></p>
<p class="MsoPlainText">>  CC: openid-specs-ab@lists.openid.net<o:p></o:p></p>
<p class="MsoPlainText">>  SUBJECT: Re: [Openid-specs-ab] UserInfo Request<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> I think it does. OAuth allows access_token to be used in HTTP header,
<o:p></o:p></p>
<p class="MsoPlainText">> GET param, and POST param (body), and the text goes "Access tokens
<o:p></o:p></p>
<p class="MsoPlainText">> sent in the authorization header must be BEARER TOKENS <o:p>
</o:p></p>
<p class="MsoPlainText">> [1][OAuth.2.0.Bearer]. If the client is using the HTTP GET method, it
<o:p></o:p></p>
<p class="MsoPlainText">> SHOULD send the access token in the authorization header." so it is<o:p></o:p></p>
<p class="MsoPlainText">> saying:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> 1. If the access_token is sent in the HTTP header, it has to use the
<o:p></o:p></p>
<p class="MsoPlainText">> Bearer tokens scheme.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> 2. If the request is GET, it has to use HTTP header to send the
<o:p></o:p></p>
<p class="MsoPlainText">> access_token.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> (3. Implicitly, because OAuth allows - do as the OAuth says for the
<o:p></o:p></p>
<p class="MsoPlainText">> POST, i.e., Body.)<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Are you suggesting that we should add 3. so that people does not have
<o:p></o:p></p>
<p class="MsoPlainText">> to read OAuth.2.0.Bearer?<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> =nat<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> On Thu, Sep 29, 2011 at 7:27 AM, Anthony Nadalin  wrote:<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> In  <a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19">
<span style="color:windowtext;text-decoration:none">http://openid.net/specs/openid-connect-standard-1_0.html#anchor19</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [3] it does not call out the use of the body as an option for the
<o:p></o:p></p>
<p class="MsoPlainText">> access token, since access tokens can get large there may be issues
<o:p></o:p></p>
<p class="MsoPlainText">> using only the header, the bearer token specification allows usage of
<o:p></o:p></p>
<p class="MsoPlainText">> the body, so should the openid standard specification.<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">>  _______________________________________________<o:p></o:p></p>
<p class="MsoPlainText">>  Openid-specs-ab mailing list<o:p></o:p></p>
<p class="MsoPlainText">>  <a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:windowtext;text-decoration:none">Openid-specs-ab@lists.openid.net</span></a> [4]<o:p></o:p></p>
<p class="MsoPlainText">>  <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">
<span style="color:windowtext;text-decoration:none">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a> [5]<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> --<o:p></o:p></p>
<p class="MsoPlainText">>  Nat Sakimura (=nat)<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Chairman, OpenID Foundation<o:p></o:p></p>
<p class="MsoPlainText">>  <a href="http://nat.sakimura.org/"><span style="color:windowtext;text-decoration:none">http://nat.sakimura.org/</span></a> [6]<o:p></o:p></p>
<p class="MsoPlainText">>  @_nat_en<o:p></o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">><o:p> </o:p></p>
<p class="MsoPlainText">> Links:<o:p></o:p></p>
<p class="MsoPlainText">> ------<o:p></o:p></p>
<p class="MsoPlainText">> [1]<o:p></o:p></p>
<p class="MsoPlainText">> <a href="http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bea">
<span style="color:windowtext;text-decoration:none">http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bea</span></a><o:p></o:p></p>
<p class="MsoPlainText">> rer<o:p></o:p></p>
<p class="MsoPlainText">> [2] <a href="mailto:tonynad@microsoft.com"><span style="color:windowtext;text-decoration:none">mailto:tonynad@microsoft.com</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [3] <a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19">
<span style="color:windowtext;text-decoration:none">http://openid.net/specs/openid-connect-standard-1_0.html#anchor19</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [4] <a href="mailto:Openid-specs-ab@lists.openid.net"><span style="color:windowtext;text-decoration:none">mailto:Openid-specs-ab@lists.openid.net</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [5] <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">
<span style="color:windowtext;text-decoration:none">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></p>
<p class="MsoPlainText">> [6] <a href="http://nat.sakimura.org/"><span style="color:windowtext;text-decoration:none">http://nat.sakimura.org/</span></a><o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</div>
</body>
</html>