Yes. By dropping "operation", "operation=rotate_secret" is also dropped. <div><br></div><div>Nat<br><br><div class="gmail_quote">2013/2/2 Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Are you also in favor of removing the rotate_secret operation, Nat?<br>
<div class="HOEnZb"><div class="h5"><br>
-----Original Message-----<br>
From: Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>]<br>
Sent: Friday, February 01, 2013 5:28 PM<br>
To: Mike Jones<br>
Cc: John Bradley; <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a> Group<br>
Subject: Re: [Openid-specs-ab] Dynamic Client Registration<br>
<br>
Oops. I thought John was proposing to remove the operation parameter.<br>
I did +1 for that, as I indicated on the OAuth list.<br>
<br>
=nat via iPhone<br>
<br>
Feb 2, 2013 10:07$B!"(BMike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> $B$N%a%C%;!<%8(B:<br>
<br>
> The other change we could make at the same time then is removing the "operation" parameter entirely.  The "client_register" and "client_update" operations are easily distinguishable by whether the request contains a "client_id" parameter or not.<br>

><br>
> Justin, are you good with these changes?<br>
><br>
>                -- Mike<br>
><br>
> -----Original Message-----<br>
> From: <a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf Of Nat Sakimura<br>

> Sent: Friday, February 01, 2013 5:04 PM<br>
> To: John Bradley<br>
> Cc: <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a> Group<br>
> Subject: Re: [Openid-specs-ab] Dynamic Client Registration<br>
><br>
> +1<br>
><br>
> =nat via iPhone<br>
><br>
> Feb 2, 2013 9:29$B!"(BJohn Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>> $B$N%a%C%;!<%8(B:<br>
><br>
>> The registration spec originally used the same secret for updating and authentication to the token endpoint.<br>
>><br>
>> We added rotate_secret to stop the secret from rotating each time as it did in the original spec because there were legitimate concerns about clients getting locked out if they did not receive a response for some reason and lost the new secret.<br>

>><br>
>> Later we separated the authentication to the registration endpoint from the client secret string, however we kept the rotate secret thinking that perhaps a client might want to rotate it's secret.<br>
>><br>
>> In OAuth client secret provisioning and rotation if there is such a thing are out of scope.<br>
>><br>
>> We did add some additional security that might never get used.<br>
>><br>
>> We later also added the assertion profile for authenticating to the token endpoint using asymmetric keys.<br>
>><br>
>> I think anyone interested in security should be using this and not worrying about rotating symmetric client secrets.<br>
>><br>
>> The Rotate secret verb is I think a bit of cruft that collected and really has no practical use any more.<br>
>><br>
>> Low security clients won't use it, and high security clients don't need it.<br>
>><br>
>> For asymmetric you would just use your access token to update your signing key to rotate.<br>
>><br>
>> I would like to remove rotate_secret as it is not restful for those that care and not especially useful.<br>
>><br>
>> If people agree this can be take  to the OAuth list.  Honestly adding a new endpoint for redundant functionality in a new spec should probably be avoided:)<br>
>><br>
>> John B.<br>
>><br>
>> _______________________________________________<br>
>> Openid-specs-ab mailing list<br>
>> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
>> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div>