<div dir="ltr">Hi. <div><br></div><div>It so happens that the hybrid flow is the most secure way. </div><div>The the front channel through the user agent is an untrusted transport. </div><div>Adversary can tamper the response and do bad things. </div><div>To prevent it, you need a signature on the response to detect it. </div><div>ID Token works as the detached signature so if you use the hybrid flow, you will be able to tell if the front channel payload has been tampered with or replaced by adversary. </div><div><br></div><div>Best, </div><div><br></div><div>Nat</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-03-08 22:34 GMT+09:00 Sergey Beryozkin <span dir="ltr"><<a href="mailto:sberyozkin@gmail.com" target="_blank">sberyozkin@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi All<br>
<br>
I'm not understanding clearly enough why OIDC hybrid flows will be used. I can imagine a situation where a complex 'client' which is probably a combination of the in-browser running implicit JavaScript client + the web server client this implicit client is linked is used.<br>
<br>
But it will help myself and other implementers to understand better what are use cases (even a single use case) here ?<br>
<br>
What confuses me is what are the real client confidentiality requirements here.<br>
<br>
For example, a public client may be restricted to request a token via the implicit flow but not the code. Likewise a confidential client may be prevented from requesting a token via the implicit flow but only allowed to request a code. But with the hybrid flow - it is everything that one can possibly get from OAuth2 server supporting the redirection based flows.<br>
<br>
Can it make sense to introduce a 'hybrid' client term ?<br>
<br>
Thanks, Sergey<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div></div>
</div>