Yes, I can see how that would happen. <br><br>So how about for OPs who tie scope to Consumer Keys, their openid.oauth.scope syntax would look something like this:<br><br>openid.oauth.scope=consumer_key:scope1,scope2,scope3<br>
<br>Or, if there is a one-to-one mapping from consumer_key to scope, simply like this:<br><br>openid.oauth.scope=consumer_key<br><br>Dirk.<br><br><div class="gmail_quote">On Thu, Nov 13, 2008 at 2:04 PM, Darren Bounds <span dir="ltr">&lt;<a href="mailto:darren@cliqset.com">darren@cliqset.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div bgcolor="#FFFFFF"><div>Certainly but the consumer context you display to the user is falsely represented based solely on the realm in that circumstance.<div class="Ih2E3d">
<br><br>Sent from a mobile device.</div></div><div><div></div><div class="Wj3C7c"><div><br>On Nov 13, 2008, at 4:58 PM, Dirk Balfanz &lt;<a href="mailto:balfanz@google.com" target="_blank">balfanz@google.com</a>&gt; wrote:<br>
<br></div><div></div><blockquote type="cite"><div><br><br><div class="gmail_quote">On Thu, Nov 13, 2008 at 1:45 PM, Allen Tom <span dir="ltr">&lt;<a href="mailto:atom@yahoo-inc.com" target="_blank"></a><a href="mailto:atom@yahoo-inc.com" target="_blank">atom@yahoo-inc.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div>Dirk Balfanz wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
I don&#39;t think this is true - I believe the realm is sufficient. Let me try and explain. (We&#39;ll assume registered consumers.) On the approval page, we need to identify the consumer. In its current form, the spec basically assumes that you&#39;re gonna use the realm for that.<br>


</blockquote>
<br></div>
You&#39;re assuming that a realm has only one CK. A site might have multiple consumer keys, with different scopes attached to them...<br><font color="#888888">
</font></blockquote><div><br>Actually, I wasn&#39;t assuming that. At access token request time, you follow the map from consumer-key to realm (that&#39;s the direction you can do, right)? If that&#39;s a many-to-one map then this will give you one realm. Then you check whether that&#39;s the realm that the request token was issued to.<br>

<br>The one thing you&#39;re losing is that you can&#39;t, at approval time, figure out whether that realm is requesting a scope that they have access to. So a realm could ask for a certain scope in their auth request, the user approves it, and then at access-token-request time, you won&#39;t issue the token b/c they&#39;re using a CK that doesn&#39;t have enough privileges. It&#39;s still secure, but gives you a crappy user experience if the consumer mixes up their CKs.<br>

<br>Wait - I think I have an idea: what if the Yahoo-specific way of requesting the scope is to include the CK into the openid.oauth.scope parameter? That way, you can at approval time make sure that they are requesting a scope that they are actually authorized to pick up. This wouldn&#39;t be for security purposes - just as a way to make sure the user experience isn&#39;t surprising.<br>

<br>Dirk.<br></div></div><br>
</div></blockquote></div></div><div class="Ih2E3d"><blockquote type="cite"><div><span>_______________________________________________</span><br><span>specs mailing list</span><br><span><a href="mailto:specs@openid.net" target="_blank">specs@openid.net</a></span><br>
<span><a href="http://openid.net/mailman/listinfo/specs" target="_blank">http://openid.net/mailman/listinfo/specs</a></span><br></div></blockquote></div></div></blockquote></div><br>