<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Dominick,<div class=""><br class=""></div><div class="">as I said in a discussion with William the other day. I’m not sure there will be a performance issue if you where to run</div><div class="">against the OIDF test server. Most of things happening are network based events so the load on the machine is minor.</div><div class="">The only thing we might have a problem with is the size of the log files vs the available disc space.</div><div class="">But rotating the logs should take care of that.</div><div class="">Now, there are reasons why you may want to this locally and as Hans wrote in another mail he’s working on making that easier.</div><div class="">The bottom line being that there is absolutely no reason why you wouldn’t include the test suite into your continues-integration pipeline :-) :-)</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">3 maj 2017 kl. 07:46 skrev Dominick Baier via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" class="">openid-specs-ab@lists.openid.net</a>>:</div><br class="Apple-interchange-newline"><div class=""><div id="bloop_customfont" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; margin: 0px;" class="">> Incidentally, one of the cool things about how we implemented these tests in AppAuth, is that we actually <b class="">built them into our continuous-integration testing pipeline</b>. </div><div id="bloop_customfont" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; margin: 0px;" class=""><br class=""></div><div id="bloop_customfont" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; margin: 0px;" class="">I thought about this too - but I actually didn’t want to produce load all the time I am doing a check-in into the repo. I added a test runner to the source code, so anyone can manually start the tests when needed.</div><br style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><div id="bloop_sign_1493822708417135872" class="bloop_sign" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div class=""><br class=""></div><div class="">-------</div><div class="">Dominick Baier</div></div><br style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><p class="airmail_on" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;">On 1. May 2017 at 18:55:08, William Denniss via Openid-specs-ab (<a href="mailto:openid-specs-ab@lists.openid.net" class="">openid-specs-ab@lists.openid.net</a>) wrote:</p><blockquote type="cite" class="clean_bq" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;"><span class=""><div class=""><div class=""></div><div class=""><div dir="ltr" class=""><div class="">Sorry we didn't get a chance to talk in Chicago on this topic Mike, my trip was all too brief. I'll be around this week though, hopefully we can discuss this with the relevant parties.<br class=""></div><div class=""><br class=""></div><div class="">As of yesterday, AppAuth for iOS and macOS is now<span class="Apple-converted-space"> </span><a href="https://github.com/openid/AppAuth-iOS/pull/101" class="">passing</a><span class="Apple-converted-space"> </span>all but those 4 signature verification tests in the "code" profile. I'm preparing the certification packet, once we have a final decision on the optionality of those tests, I'm hoping to certify.</div><div class=""><br class=""></div><div class="">Incidentally, one of the cool things about how we implemented these tests in AppAuth, is that we actually<span class="Apple-converted-space"> </span><b class="">built them into our continuous-integration testing pipeline</b>. The conformance tests run alongside our unit tests for every release, and every git push. The certification log output is automatic too, meaning anyone can run the certification tests and produce the same output at the click of a button.</div><div class=""><br class=""></div><div class="">I think this is a huge value-add for the RP certification program. Previously we only had unit tests in the library, no end-to-end tests due to the fact we didn't have an OP with interaction-less responses that we could use for automated testing. The RP certification program has made this available, and by using it, our test coverage is vastly improved.</div><div class=""><br class=""></div><div class="">Thank you Roland, Mike, the Foundation and everyone who is working on this, it's a very valuable effort!</div><div class=""><br class=""></div><div class="">Best,</div><div class="">William</div><div class=""><br class=""></div><div class=""><br class=""></div></div><div class="gmail_extra"><br class=""><div class="gmail_quote">On Sun, Mar 26, 2017 at 1:29 PM, Mike Jones<span class="Apple-converted-space"> </span><span dir="ltr" class=""><<a href="mailto:Michael.Jones@microsoft.com" target="_blank" class="">Michael.Jones@microsoft.com</a>></span><span class="Apple-converted-space"> </span>wrote:<br class=""><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;"><div lang="EN-US" link="blue" vlink="purple" class=""><div class="m_3647925707323825383WordSection1"><p class="MsoNormal"><span style="color: rgb(0, 32, 96);" class="">One thought is that this maybe should depend upon how the RP registers.  If it registers with support for signature algorithms, then that support should be tested – even for response_type=code.  If it registers only with support for “alg”: “none”, then it obviously can’t be tested then.</span></p><div class=""><span style="color: rgb(0, 32, 96);" class=""> </span><br class="webkit-block-placeholder"></div><p class="MsoNormal"><span style="color: rgb(0, 32, 96);" class="">My logic is that if the RP can check signatures, the OP provides a bad signature, and the RP doesn’t catch it, that seems like a scenario what shouldn’t pass certification.  Let’s talk about this in person in Chicago this week.  I’d love to hear what others think about this as well.</span></p><div class=""><span style="color: rgb(0, 32, 96);" class=""> </span><br class="webkit-block-placeholder"></div><p class="MsoNormal"><span style="color: rgb(0, 32, 96);" class="">                              <wbr class="">                        <span class="Apple-converted-space"> </span>-- Mike</span></p><p class="MsoNormal"><a name="m_3647925707323825383__MailEndCompose" id="m_3647925707323825383__MailEndCompose" class=""><span style="color: rgb(0, 32, 96);" class=""> </span></a></p><p class="MsoNormal"><b class="">From:</b><span class="Apple-converted-space"> </span>Openid-specs-ab [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank" class="">openid-specs-ab-<wbr class="">bounces@lists.openid.net</a>]<span class="Apple-converted-space"> </span><b class="">On Behalf Of</b><span class="Apple-converted-space"> </span>William Denniss via Openid-specs-ab<br class=""><b class="">Sent:</b><span class="Apple-converted-space"> </span>Sunday, March 26, 2017 11:13 AM<br class=""><b class="">To:</b><span class="Apple-converted-space"> </span><a href="mailto:openid-specs-ab@lists.openid.net" target="_blank" class="">openid-specs-ab@lists.openid.<wbr class="">net</a><br class=""><b class="">Subject:</b><span class="Apple-converted-space"> </span>[Openid-specs-ab] RP Tests: ID Token signature validation for code flow</p><div class=""><div class="h5"><div class=""> <br class="webkit-block-placeholder"></div><div class=""><p class="MsoNormal">Regarding the<span class="Apple-converted-space"> </span><a href="https://rp.certification.openid.net:8080/list?profile=C" target="_blank" class="">'code' response type tests</a>, my understanding is that it's not necessary to validate the ID Token signature as it was obtained via a HTTPS connection to the OP.</p><div class=""><div class=""> <br class="webkit-block-placeholder"></div></div><div class=""><p class="MsoNormal">This test follows that logic:</p><div class=""><p class="MsoNormal">rp-id_token-sig-none</p></div><div class=""><div class=""> <br class="webkit-block-placeholder"></div></div><div class=""><p class="MsoNormal">However, these 4 tests assume signature validation for the code flow:</p></div><div class=""><p class="MsoNormal">rp-id_token-kid-absent-single-<wbr class="">jwks<br class="">rp-id_token-kid-absent-<wbr class="">multiple-jwks<br class="">rp-id_token-bad-sig-rs256<br class="">rp-id_token-sig-rs256</p></div></div><div class=""><div class=""> <br class="webkit-block-placeholder"></div></div><div class=""><p class="MsoNormal">Can they be made optional for the 'code' response type tests?</p></div><div class=""><div class=""> <br class="webkit-block-placeholder"></div></div></div></div></div></div></div></blockquote></div><br class=""></div>_______________________________________________<span class="Apple-converted-space"> </span><br class="">Openid-specs-ab mailing list<span class="Apple-converted-space"> </span><br class=""><a href="mailto:Openid-specs-ab@lists.openid.net" class="">Openid-specs-ab@lists.openid.net</a><span class="Apple-converted-space"> </span><br class=""><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" class="">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><span class="Apple-converted-space"> </span><br class=""></div></div></span></blockquote><span style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">_______________________________________________</span><br style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><span style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Openid-specs-ab mailing list</span><br style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><a href="mailto:Openid-specs-ab@lists.openid.net" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">Openid-specs-ab@lists.openid.net</a><br style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="font-family: Helvetica, Arial; font-size: 13px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></div></blockquote></div><br class=""></div></body></html>