<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;"><div id="bloop_customfont" style="font-family:Helvetica,Arial;font-size:13px; color: rgba(0,0,0,1.0); margin: 0px; line-height: auto;">IdentityServer is widely deployed.</div> <br> <div id="bloop_sign_1464775071797996032" class="bloop_sign"><div>— </div><div>cheers<br>Dominick Baier</div></div> <br><p class="airmail_on">On 31 May 2016 at 13:38:06, Thomas Broyer (<a href="mailto:t.broyer@gmail.com">t.broyer@gmail.com</a>) wrote:</p> <blockquote type="cite" class="clean_bq"><span><div><div></div><div>



<title></title>


<div dir="ltr"><br>
<br>
<div class="gmail_quote">
<div dir="ltr">On Tue, May 31, 2016 at 12:32 AM John Bradley
<<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>>
wrote:<br></div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">I suppose some other hash could
have been used besides S256.   It however is probably not
worth the trouble to make it configurable.</div>
</blockquote>
<div><br></div>
<div>It's an implementation detail of the OP, so it doesn't matter
whether it's "configurable" or not.</div>
<div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">
<div>I think it was Google that came up with the S256
requirement.</div>
</div>
</blockquote>
<div><br></div>
<div>It's not a requirement. The requirement is to use a "salted
cryptographic hash".</div>
<div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">
<div>Work on that session management spec has largely
stalled.  Google who originally proposed it, built something
similar but incompatible. </div>
<div>I believe Microsoft is the only one to have widely implemented
it.</div>
</div>
</blockquote>
<div><br></div>
<div>I found two OP implementations on GitHub (not talking about
Gluu Server, which is not actually Session Management; and also
excluding my own implementation): <a href="https://github.com/anvilresearch/connect/">https://github.com/anvilresearch/connect/</a> <span style="line-height:1.5">and </span><a href="https://github.com/IdentityServer/IdentityServer3/" style="line-height:1.5">https://github.com/IdentityServer/IdentityServer3/</a></div>
<div>Both use SHA256, with the same arguments, in the same order
(slight variation is that IdentityServer3 doesn't separate them
with spaces). I'm assuming everyone (including me) did the same:
just do the same as the non-normative example from the spec, not
trying (or failing) to understand the underlying reasons for the
SHA256.</div>
<div>And mod_oauth_openidc supports it as an RP.</div>
<div>No idea if that qualifies as "widely implemented" (I suppose
you mean "widely deployed" here?)</div>
<div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word">
<div>I think they are relatively happy with it in Azure.</div>
</div>
</blockquote>
<div><br></div>
<div>Would love to hear from them!</div>
<div><br></div>
<div>Thanks for answering anyway!</div>
</div>
</div>


_______________________________________________
<br>Openid-specs-ab mailing list
<br>Openid-specs-ab@lists.openid.net
<br>http://lists.openid.net/mailman/listinfo/openid-specs-ab
<br></div></div></span></blockquote></body></html>