<p dir="ltr">I am new to the group so apologies if I am duplicating something that is sent earlier to the group. </p>

<p dir="ltr">There is a IETF standard on how to send access token in HTTP headers as bearer tokens - <a href="https://tools.ietf.org/html/rfc6750">https://tools.ietf.org/html/rfc6750</a></p>

<p dir="ltr">May be we can just adopt this standard?</p>

<p dir="ltr">Suhas</p>

<br><div class="gmail_quote"><div dir="ltr">On Mon, 22 Aug 2016, 16:23 Nat Sakimura via Openid-specs-fapi, <<a href="mailto:openid-specs-fapi@lists.openid.net">openid-specs-fapi@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>We can certainly constrain that it has to be sent in the header. <br><br>Sent from iPad</div><div><br>2016/08/22 23:48、John Bradley via Openid-specs-fapi <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> のメッセージ:<br><br></div></div><div dir="auto"><blockquote type="cite"><div><p dir="ltr">It is a debate that we keep having, mostly around backwards compatibility and people wanting to send the acess token as a paramater rather than in a headder. </p>

<p dir="ltr">If we prohibit sending the AT as a query paramater, I am more than happy with GET for read only.  </p>

<p dir="ltr">John B.  </p>

<div class="gmail_extra"><br><div class="gmail_quote">On Aug 22, 2016 10:59 AM, "Luis SAIZ GIMENO via Openid-specs-fapi" <<a href="mailto:openid-specs-fapi@lists.openid.net" target="_blank">openid-specs-fapi@lists.openid.net</a>> wrote:<br type="attribution"><blockquote style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>Maybe it's not a subject for this list but it sounds odd to me the use of POST for "get" info. In order to be more consistent with REST APIs and to avoid mistakes in authorization rules/scopes I think it should be used GET for read-only operations and POST(PUT/DELETE) for write operations ("transfer" scope)</div><div><br></div><div>The use of GET vs POST for security reasons dates from the early HTTP RFC when TLS was uncommon (HTTP predates TLS). Nowadays and even more in a financial scenario, all transfers must be done under TLS and so no sensitive info can be leaked in proxies. Web servers has access to the full info regardless GET/POST, it's a server-side responsibility to configure web servers audit logs for not logging sensitive information</div><div><br></div><div>Recommendations of W3C:</div><div><br></div><div><a href="https://www.w3.org/2001/tag/doc/whenToUseGet.html" target="_blank">https://www.w3.org/2001/tag/doc/whenToUseGet.html</a><br></div><div><br></div><div><br></div><div>BTW, HEART WG explicitly refers to RESTful APIs but FAPI don't. Should we consider and discuss about it?</div><div><br></div><div><br></div><div>Best,</div><div><br></div><div>Luis</div><div><br></div><div>-------</div><div>"Crypto can't create trust It merely automates the trust that already exists for other reasons" -- John Gilmore </div><div class="gmail_extra"><br><div class="gmail_quote">2016-06-09 2:34 GMT+02:00 Saxena, Anoop <span dir="ltr"><<a href="mailto:Anoop_Saxena@intuit.com" target="_blank">Anoop_Saxena@intuit.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div lang="EN-US" link="#0563C1" vlink="#954F72">

<div>

<p class="MsoNormal">Hello All,<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">FS-ISAC working group   ratified a solution that will replace credential based aggregation of data via screen scraping bank website with  OAUTH 2.x & DDA (durable data API).<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Recommendation for Open Id FAPI working group to use Durable Data API as base which defines various entities definition (such as Account, transactions etc.. ).

<u></u><u></u></p>

<p class="MsoNormal">These entities are returned under the scope of OAUTH token.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Note: See attachment for detail DDA Specification.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#365ebf">Thanks,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:7.5pt;font-family:"Verdana",sans-serif;color:#365ebf"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#365ebf">Anoop Saxena<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#365ebf">Architect<br>

</span><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#65a0dc">Intuit |</span></b><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#929292"> simplify the business of life</span></b><b><sup><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:gray">tm</span></sup></b><br>

<br>

<span style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#365ebf"><u></u><u></u></span></p>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

<br>_______________________________________________<br>

Openid-specs-fapi mailing list<br>

<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">

<div align="left">

<p style="MARGIN:0cm 0cm 0pt" align="left"><b><span style="FONT-FAMILY:Arial;COLOR:#094fa4;FONT-SIZE:10pt">BBVA</span></b></p>

<p style="MARGIN:0cm 0cm 0pt"><b><span style="FONT-FAMILY:Arial;COLOR:#009ee5;FONT-SIZE:10pt">Luis Saiz Gimeno</span></b></p>

<p style="line-height:150%;margin:0cm 0cm 0pt"><span style="color:rgb(9,79,164);font-family:Arial;font-size:10pt;line-height:150%"><b>Innovation in Security</b></span></p><p style="line-height:150%;margin:0cm 0cm 0pt"><span style="color:rgb(9,79,164);font-family:Arial;font-size:10pt;line-height:150%">Móvil <a href="tel:%2B34%C2%A0609703264" value="+34609703264" target="_blank">+34 609703264</a> - Tel. <a href="tel:%2B34%C2%A0918073152" value="+34918073152" target="_blank">+34 918073152</a> - </span><a href="mailto:luis.saiz@bbva.com" style="font-family:Arial;font-size:10pt;line-height:150%" target="_blank">luis.saiz@bbva.com</a><br></p>

<p style="margin:0cm 0cm 0pt"><font size="2"><span style="font-family:Arial;color:rgb(9,79,164);font-size:10pt;line-height:150%" lang="NO-BOK"></span></font><strong style="font-family:Arial"><font color="#009ee5" style="font-size:10pt;line-height:150%">Engineering - Architecture & Global Deployment </font></strong><span style="font-family:Arial;font-size:10pt;line-height:150%;color:rgb(9,79,164)">– Monforte de Lemos, s/n, 28029</span></p><p style="margin:0cm 0cm 0pt"><font color="#094fa4" face="Arial" size="1"><span style="line-height:20px">Maps: <a href="https://www.google.es/maps/place/Av.+de+Monforte+de+Lemos,+28,+28029+Madrid/" target="_blank">https://www.google.es/maps/place/Av.+de+Monforte+de+Lemos,+28,+28029+Madrid/</a></span></font><br></p><p style="margin:0cm 0cm 0pt"><span style="font-family:Arial;color:rgb(134,200,45);font-size:7pt">Antes de imprimir este mensaje, por favor comprueba que es necesario hacerlo. </span><span lang="EN-GB" style="font-family:Arial;color:rgb(134,200,45);font-size:7pt">Before you print this message please consider if it is really necessary.</span></p></div></div></div></div></div></div></div></div></div></div></div>

</div></div>

<br>

<p style="background:white"><span style="font-size:7.0pt;font-family:"Arial","sans-serif";color:#758087">"Este mensaje está

dirigido de manera exclusiva a su destinatario y puede contener información

privada y confidencial. No lo reenvíe, copie o distribuya a terceros que no

deban conocer su contenido. En caso de haberlo recibido por error,  rogamos

lo notifique al remitente y proceda a su borrado, así como al de cualquier

documento que pudiera adjuntarse.</span></p>

<p style="background:white"><span style="font-size:7.0pt;font-family:"Arial","sans-serif";color:#758087"> </span><span style="color:rgb(117,128,135);font-family:Arial,sans-serif;font-size:7pt">Por favor tenga en cuenta que

los correos enviados vía Internet no permiten garantizar la confidencialidad de

los mensajes ni su transmisión de forma íntegra.</span></p>

<p style="background:white"><span style="font-size:7.0pt;font-family:"Arial","sans-serif";color:#758087"> </span><span style="color:rgb(117,128,135);font-family:Arial,sans-serif;font-size:7pt">Las opiniones expresadas en el

presente correo pertenecen únicamente al remitente y no representan

necesariamente la opinión del Grupo BBVA."</span></p>

<p style="background:white"><span style="font-size:7.0pt;font-family:"Arial","sans-serif";color:#758087"> </span><span style="color:rgb(117,128,135);font-family:Arial,sans-serif;font-size:7pt">"This

message is intended exclusively for the adressee and may contain privileged and

confidential information. Please, do not disseminate, copy or distribute it to

third parties who should not receive it. In case you have received it by

mistake, please inform the sender and delete the message and attachments from

your system.</span></p>

<p style="background:white"><span lang="EN-GB" style="font-size:7.0pt;font-family:"Arial","sans-serif";color:#758087"> </span><span style="color:rgb(117,128,135);font-family:Arial,sans-serif;font-size:7pt">Please

keep in mind that e-mails sent by Internet do not allow to guarantee neither

the confidentiality or the integrity of the messages sent."</span></p><br>_______________________________________________<br>

Openid-specs-fapi mailing list<br>

<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>

<br></blockquote></div><br></div>

</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Openid-specs-fapi mailing list</span><br><span><a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a></span><br><span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a></span><br></div></blockquote></div>_______________________________________________<br>

Openid-specs-fapi mailing list<br>

<a href="mailto:Openid-specs-fapi@lists.openid.net" target="_blank">Openid-specs-fapi@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-fapi" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-fapi</a><br>

</blockquote></div>