<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Thanks for the useful review, as always Torsten.  This is my Disposition of Comments (DoC) reply to your review.  If I accepted your suggestion, I haven't included any reply to it here.  The changes resulting from this review have been
 released at <a href="http://openid.bitbucket.org/">http://openid.bitbucket.org/</a>.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">2.  Grant Type and Response Type are not actually orthogonal – especially in the general OAuth case, so in the general case, both need to be specified – hence, the need for an identifier for the Implicit Grant.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">3.2 Another way of saying this is that “The same Client Secret value MUST NOT be assigned to multiple Clients”.  That seems like a sensible security precaution.  I’ve changed the text to say that, since it’s clearer.  Otherwise, a client_secret
 for one Client could be tried and might work for another Client.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">5.  The value of a read-only management endpoint is that an updated client_secret value can be returned.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">                                                            -- Mike<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-----Original Message-----<br>
From: Torsten Lodderstedt [mailto:torsten@lodderstedt.net] <br>
Sent: Wednesday, November 06, 2013 6:12 PM<br>
To: Openid-specs Ab; Mike Jones<br>
Subject: Review Comments on Dyn Reg</p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Hi Mike,<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">here are the comments on Dyn Reg.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">2.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">grant_types - there is no grant type "implicit". I therefore suggest to remove this bullet and all occurrences of "implicit" in the following table of response type/grant type combinations.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I would an "implicit" client expect just to register the response types token or id_token (and the respective combinations).<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">jwks_uri - How is this scheme supposed to work for native clients? I assume any instance of such an application would use a distinct key pair, which is stored locally. Is the client supposed to provide a web server interface? I would
 rather expect this kind of client to provide the public key data directly.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">3.2<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">client_secret - "This MUST be unique for each client_id." - why must the
<o:p></o:p></p>
<p class="MsoPlainText">client secret be _unique_? This seems to be a rather hard requirement.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">4.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I would call section "implementation notes" and move it to the end of
<o:p></o:p></p>
<p class="MsoPlainText">the doc (or merge it into section 9). Right now it suddenly turns up
<o:p></o:p></p>
<p class="MsoPlainText">during registration and management, which might confuse people and
<o:p></o:p></p>
<p class="MsoPlainText">induce them to think it is normative.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">"When stateless dynamic client registration is used by the Authorization
<o:p></o:p></p>
<p class="MsoPlainText">Server, read operations are likely to not be possible." Why?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">5.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">"to be able to view and update its registered information" - I only see
<o:p></o:p></p>
<p class="MsoPlainText">a specification of the read operation. Where is the update? As the next
<o:p></o:p></p>
<p class="MsoPlainText">states "The only method defined for use at this endpoint by this
<o:p></o:p></p>
<p class="MsoPlainText">specification is the HTTP GET method" I think the update should be
<o:p></o:p></p>
<p class="MsoPlainText">removed.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">What is the value of a read only management endpoint?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">I would not return client_secret since this is the credential.<o:p></o:p></p>
<p class="MsoPlainText">I would not return the registration_uri as the client already knows it.
<o:p></o:p></p>
<p class="MsoPlainText">It just sent a request to it.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
</div>
</body>
</html>