<div dir="ltr">Having seen the recent thread around client secret etc., I am confident that we have problems with the current definition of Authentication. <div><br></div><div>Currently, it is: </div><div><br></div><div><dt style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
Authentication</dt><dd style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Process of verifying that an Entity is the owner of an Identity. </dd><dd style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">
<br></dd><dd style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"><br></dd><div>It is unclear what is "owner" etc., and is too hand-wavy. For example, what is the owner of the identity in the case of Client Authentication? </div>
<div><br></div><div>We should adopt either ISO18014 or X.1252. I feel X.1252 is slightly better. </div><div><br></div><div>It is: </div><div><br></div><div><div>Process used to achieve sufficient confidence in the binding</div>
<div>between the entity and the presented identity</div></div><div><br></div><div>I Propose to adopt this definition. </div><div><br></div><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>
@_nat_en</div>
</div></div>