<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>
<div>
<div>This may be completely obvious and unworthy of clarification, but it made me do a double-take today so I thought I'd ask the list to weigh in.</div>
<div><br>
</div>
<div>When using prompt=login, if user A is currently logged in, it seems to be intended that ANY user can authenticate the request, even if they are not user A. The point of using prompt=login is that you want an active user to be present (and it doesn't matter
 who that active user is, or if their login overrides a stale login that was already present). The spec doesn't currently say anything about this: </div>
<div><br>
</div>
<div><dt style="color: rgb(0, 0, 0); font-family: verdana, charcoal, helvetica, arial, sans-serif; font-size: small; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">
prompt</dt><dd style="color: rgb(0, 0, 0); font-family: verdana, charcoal, helvetica, arial, sans-serif; font-size: small; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(255, 255, 255);">
OPTIONAL. Space delimited, case sensitive list of ASCII string values that specifies whether the Authorization Server prompts the End-User for reauthentication and consent. The defined values are:
<blockquote class="text">
<dl><dt><br>
</dt><dt>login</dt><dd>The Authorization Server SHOULD prompt the End-User for reauthentication. If it cannot prompt the End-User, it MUST return an error.</dd></dl>
</blockquote>
</dd></div>
<div>(from Messages 2.1.1.1)</div>
<div><br>
</div>
<div>Should this be clarified? Is it totally obvious and we can leave it alone?</div>
<div><br>
</div>
<div>--Amanda</div>
<div><br>
</div>
</div>
</div>
</body>
</html>