<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<base href="x-msg://5357/"><style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:Consolas;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">It sounds like the current discussion around redirect_uri’s may change the intended meaning of these sections, so I will hold off on suggesting text until that

 discussion has reached consensus. It sounds like several others have also had differences when interpreting this text.  <o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">--Amanda Anganes<o:p></o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> John Bradley [mailto:ve7jtb@ve7jtb.com]

<br>

<b>Sent:</b> Thursday, May 17, 2012 3:56 PM<br>

<b>To:</b> Anganes, Amanda L<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] redirect_uri matching clarification<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in">Yes this is not a change from the OAuth 2 requirements.<o:p></o:p></p>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">Sec 4.1.3 of Oauth core states:<o:p></o:p></p>

</div>

<div>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">REQUIRED, if the "redirect_uri" parameter was included in the<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">         authorization request as described in <a href="http://tools.ietf.org/html/draft-ietf-oauth-v2-26#section-4.1.1">Section 4.1.1</a>, and their<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">         values MUST be identical.<o:p></o:p></span></pre>

<div>

<p class="MsoNormal" style="margin-left:.5in">and <o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">10.6<o:p></o:p></p>

</div>

<div>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt"> The authorization server<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">   MUST require public clients and SHOULD require confidential clients<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">   to register their redirection URIs.  If a redirection URI is provided<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">   in the request, the authorization server MUST validate it against the<o:p></o:p></span></pre>

<pre style="margin-left:.5in;page-break-before:always"><span style="font-size:12.0pt">   registered value.<o:p></o:p></span></pre>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">The client is allowed to add additional query parameters to the redirect_uri and the server must pass them through. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">If you have better wording please get it to us.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in">John B.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal" style="margin-left:.5in">On 2012-05-17, at 12:01 PM, Anganes, Amanda L wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal" style="margin-left:.5in"><br>

<br>

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">A few developers here have asked questions about the connection between sections 2.3.1 and 3.1.1 with regard to redirect_uri matching.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">2.3.1, Authorization Request: “Scheme, Host, and Path segments of this URI MUST match one of the redirect_uris registered for the client_id in the

 OpenID Connect Dynamic Client Registration 1.0 [OpenID.Registration] specification.”<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">3.1.1, Token Request: “The Authorization Server MUST: … Ensure that the redirect_uri parameter is present if the redirect_uri parameter was included

 in the initial Authorization Request and that their values are identical.”<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Pulling out these two sections and placing them side by side, these developers have been confused as to why there are two different requirements.

 Does “identical” in 3.1.1 mean the two strings must be exactly the same, or does it refer to the scheme, host, and path matching indicated in 2.3.1?<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">Taking the whole document into consideration, it makes sense why these two requirements are different – query parameters can be passed in the Authorization

 Request redirect_uri, and that URI should still be able to be matched against the registered URIs. Thus it makes sense to check scheme, host, and path only. The Token Request should use the exact same redirect_uri as used in the Authorization Request, including

 query parameters, so the two values should be identical strings.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">The wording in the spec is correct, but I think it would benefit from some more explanation to call out the difference between the checks done at

 the two endpoints. I can suggest text if others agree that this is worth clarifying.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><i><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#D99594">Amanda Anganes</span></i><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#D99594">Info Sys Engineer, G061</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#D99594">The MITRE Corporation</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#D99594">782-271-3103</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#D99594"><a href="mailto:aanganes@mitre.org">aanganes@mitre.org</a></span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> <o:p></o:p></span></p>

</div>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-size:13.5pt;font-family:"Helvetica","sans-serif"">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

</div>

</div>

</body>

</html>