<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"><base href="x-msg://10963/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I think that is the best compromise.   A client that doesn't send a redirect_uri is not compliant and may not work with most Connect servers.  A server is not forced to throw a error for something that is allowed in OAuth 2 but can if that is it's policy.<div><br></div><div>That allows for more OAuth Authorization servers to comply without having more special logic to throw errors based on the receipt of a particular scope.</div><div><br></div><div>John B.</div><div><br><div><div>On 2012-12-07, at 2:44 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div class="WordSection1" style="page: WordSection1; "><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">OK – for the purposes of the pending update spec release, I’m going to update the specs to be internally consistent and require clients to send the redirect_uri value.  But I’ll also make it clear that servers may choose not to trigger an error when a request is received without a redirect_uri and there is exactly one registered redirect_uri value.  (Credit to John Bradley for this idea.)  That way, conforming clients will always send it but servers that are looser with this behavior for other OAuth requests can continue to be loose in that way with OpenID Connect requests as well.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">Thanks all for the good discussion.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">                                                            -- Mike<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span>Brian Campbell [mailto:bcampbell@<a href="http://pingidentity.com">pingidentity.com</a>]<span class="Apple-converted-space"> </span><br><b>Sent:</b><span class="Apple-converted-space"> </span>Thursday, December 06, 2012 2:19 PM<br><b>To:</b><span class="Apple-converted-space"> </span>Mike Jones<br><b>Cc:</b><span class="Apple-converted-space"> </span>Breno de Medeiros; <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>>; Naveen Agarwal<br><b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Openid-specs-ab] Question to Google about redirect_uri parameter in authorization request<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">Sorry for the slow response. Responses inline.<o:p></o:p></div><div><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></p><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">On Wed, Dec 5, 2012 at 5:50 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank" style="color: purple; text-decoration: underline; ">Michael.Jones@microsoft.com</a>> wrote:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">Brian, is the current inconsistency within the Connect specs that you've identified in this sentence in<span class="Apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor9" target="_blank" style="color: purple; text-decoration: underline; ">http://openid.net/specs/openid-connect-standard-1_0.html#anchor9</a>: "Ensure that the redirect_uri parameter is present if the redirect_uri parameter was included in the initial Authorization Request and that their values are identical for the Scheme, Host, Path, and Query Parameter segments"?  If the phrase "if the redirect_uri parameter was included in the initial Authorization Request"<span style="color: red; "><span class="Apple-converted-space"> </span>were deleted</span>, would the Connect specs then be self-consistent, in your view?<br> <o:p></o:p></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><br>As far as it's requiredness on the authorization and token requests, I think that would do it (with a little wordsmithing on that statement anyway).   Looking at all the places I referenced in the ticket, I thought it was a mistake and I guess I was really expecting it would be changed to optional. *Sigh*<span class="Apple-converted-space"> </span><br><br> <o:p></o:p></div></div><blockquote style="border-style: none none none solid; border-left-width: 1pt; border-left-color: rgb(204, 204, 204); padding: 0in 0in 0in 6pt; margin-left: 4.8pt; margin-right: 0in; "><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">Or are you also concerned that this language in<span class="Apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-registration-1_0.html#anchor3" target="_blank" style="color: purple; text-decoration: underline; ">http://openid.net/specs/openid-connect-registration-1_0.html#anchor3</a><span class="Apple-converted-space"> </span>would be inconsistent: "redirect_uris - RECOMMENDED for Clients using the code flow with a query parameter encoded response. REQUIRED for Clients requesting implicit flow fragment encoded responses as defined in OAuth 2.0 [OAuth2.0]. A space-delimited list of redirect URIs. One of the URL MUST match the Scheme, Host, and Path segments of the redirect_uri in the authorization request."?  Or do people also believe that registering redirect_uris should always be REQUIRED?<o:p></o:p></p></blockquote><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><br>I don't know the reasoning for having it that way so can't really comment on if registering redirect_uris should always be required. It is maybe a little awkward that it's sort of optional there in registration but text like "The Scheme, Host, Path, and Query Parameter segments of this URI MUST match one of the<tt style="font-family: 'Courier New'; "><span style="font-size: 10pt; ">redirect_uris</span></tt><span class="Apple-converted-space"> </span>registered for the<span class="Apple-converted-space"> </span><tt style="font-family: 'Courier New'; "><span style="font-size: 10pt; ">client_id</span></tt><span class="Apple-converted-space"> </span>in the<span class="Apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-standard-1_0.html#OpenID.Registration" style="color: purple; text-decoration: underline; ">OpenID Connect Dynamic Client Registration 1.0</a><span class="Apple-converted-space"> </span>[OpenID.Registration] specification." from<a href="http://openid.net/specs/openid-connect-standard-1_0.html#rf_prep" style="color: purple; text-decoration: underline; ">http://openid.net/specs/openid-connect-standard-1_0.html#rf_prep</a><span class="Apple-converted-space"> </span>sort of read as though a client will always have uris registered.  That text also could potentially be interpreted as a hard dependency of standard on dynamic registration but maybe I'm being too nit-picky...<br><br> <o:p></o:p></div></div><blockquote style="border-style: none none none solid; border-left-width: 1pt; border-left-color: rgb(204, 204, 204); padding: 0in 0in 0in 6pt; margin-left: 4.8pt; margin-right: 0in; "><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">                                Thanks all,<br>                                -- Mike<o:p></o:p></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p> </o:p></div></div></blockquote></div></div></div>_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>http://lists.openid.net/mailman/listinfo/openid-specs-ab</div></blockquote></div><br></div></body></html>