<html><head><meta http-equiv="Content-Type" content="text/html charset=iso-8859-1"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">No but there are currently two separate requests, one for the max_auth_age and the other requesting the auth_time claim.  The current spec doesn't couple them.<div>Removing a way for the client to ask for auth_time in the response to determine if max_auth_age was acted on is a problem.</div><div><br></div><div>The solution may be simple by just saying that you need to return auth_time if the authorization server honours the max_auth_age request.</div><div><br></div><div><br><div><div>On 2013-02-04, at 11:55 AM, Brian Campbell <<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr"><div><div>In general isn't it really incumbent upon the client/RP to validate security sensitive things, like auth_time and acr, as needed in the response?  <br><br></div>That's how I've read it anyway, that the client can make whatever request it wants but that the OP isn't necessarily obligated (or capable) to live up to what is requested. And the client needs to enforce things that are important to it.<br>

<br></div>Is my interpretation wrong on that?<br><div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 1, 2013 at 5:09 PM, John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><br><div>For max_age you don't necessarily want the user to be able to modify that in the request, that might cause security issues if auth_time is not required in the response, the RP may be thinking it is getting a stronger authentication than it is in reality.</div>

<div><br></div><div>I would prefer to leave max_age in the signed request and not confuse the lower security parameter based request with it.</div><br></div></blockquote></div></div></div>

</div>
</blockquote></div><br></div></body></html>