Could you point me to the text in OAuth spec describing it? <div><br></div><div>Also, there are legitimate cases where changing hands happens, which is not leaking. </div><div>As long as the original party that has gotten the bearer token is consciously handing it to another client, it should be fine. e.g., sometimes connected client handing it to the server component that has a different client_id. </div>

<div><br></div><div>Nat<br><br><div class="gmail_quote">2013/3/29 Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div lang="EN-US" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Changing hands doesn’t mean that it’s authorized.  It just means that the token has been leaked to an unauthorized party.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                                -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>]

<br>

<b>Sent:</b> Thursday, March 28, 2013 4:51 PM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> Tim Bray; openid-specs-ab</span></p><div><div class="h5"><br>

<b>Subject:</b> Re: [Openid-specs-ab] OpenID Connect and Identity Delegation<u></u><u></u></div></div><p></p><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Which is not the case that it may sometime change the hand. The name bearer suggests otherwise as well. Bearer is whoever has it. <u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">From Oxford Dictionary: <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<blockquote style="margin-left:30.0pt;margin-right:0in">

<div>

<p class="MsoNormal"><span><b><span style="font-size:9.0pt;font-family:"Georgia","serif";color:#333333;border:none windowtext 1.0pt;padding:0in;background:white">1</span></b></span><span><span style="font-size:9.0pt;font-family:"Georgia","serif";color:#333333;border:none windowtext 1.0pt;padding:0in;background:white">a

 person or thing that carries or holds something:</span></span><u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><span><b><span style="font-size:9.0pt;font-family:"Georgia","serif";color:#333333;border:none windowtext 1.0pt;padding:0in;background:white">2</span></b></span><span style="font-size:9.0pt;font-family:"Georgia","serif";color:#333333;background:white">a

 person who presents a cheque or other order to pay money:</span><u></u><u></u></p>

</div>

</blockquote>

<div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">And here is a description of "bearer bond" from wikipedia: <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

<blockquote style="margin-left:30.0pt;margin-right:0in">

<div>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";background:white">A <b>bearer bond</b> is a debt security issued by a business entity, such as a corporation, or by a government. It differs from the more common types of investment

 securities in that it is unregistered – no records are kept of the owner, or the transactions involving ownership. Whoever physically holds the paper on which the bond is issued owns the </span><a href="http://en.wikipedia.org/wiki/Financial_instrument" title="Financial instrument" target="_blank"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#0b0080;background:white;text-decoration:none">instrument</span></a><span style="font-size:10.0pt;font-family:"Arial","sans-serif";background:white">.

 This is useful for </span><a href="http://en.wikipedia.org/wiki/Investor" title="Investor" target="_blank"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#0b0080;background:white;text-decoration:none">investors</span></a><span style="font-size:10.0pt;font-family:"Arial","sans-serif";background:white"> who

 wish to retain anonymity. Recovery of the value of a bearer bond in the event of its loss, theft, or destruction is usually impossible. </span><u></u><u></u></p>

</div>

</blockquote>

<div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">At the same time, bearer is more privacy preserving in some sense. In a "registered token", i.e., token with the "azp", it is impossible to hide who is presenting it. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Nat<u></u><u></u></p>

<div>

<p class="MsoNormal"><br></p></div></div></div></div></div></div></div></blockquote></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en</div>

</div>