<br><br><div class="gmail_quote">On Tue, Nov 18, 2008 at 6:19 PM, Allen Tom <span dir="ltr">&lt;<a href="mailto:atom@yahoo-inc.com">atom@yahoo-inc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="Ih2E3d">Dirk Balfanz wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Oh I see. Ok. I&#39;l make a new revision of the spec where I add a required parameter (the consumer key) to the auth request.<br>
<br>
</blockquote></div>
Cool, thanks!<div class="Ih2E3d"><br>
<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What should the spec recommend the OP should do if the consumer key and realm don&#39;t match? Return a cancel? Return something else?<br>
<br>
</blockquote></div>
I&#39;d recommend an error consistent with Section 8.2.4 in the OpenID 2.0 spec, with a new error_code value indicating that the either the CK or the realm was invalid. There may actually need to be 2 errors, one to indicate that the CK is invalid, and another to indicate that the CK is not valid for the realm.<br>

<br>
<a href="http://openid.net/specs/openid-authentication-2_0.html#anchor20" target="_blank">http://openid.net/specs/openid-authentication-2_0.html#anchor20</a><br><font color="#888888"></font></blockquote><div><br></div><div>
But Section 8.2 is about the association response. In the auth response, we currently only have cancel or setup_needed. If we invent another error condition there, we&#39;re no longer a pure &quot;extension&quot;.&nbsp;</div><div>
&nbsp;</div><div>Dirk.</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><font color="#888888">
<br>
Allen<br>
<br>
</font></blockquote></div><br>