<div class="gmail_quote">On Sat, May 2, 2009 at 4:05 PM, DeWitt Clinton <span dir="ltr">&lt;<a href="mailto:dewitt@unto.net">dewitt@unto.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="gmail_quote"><div><br>Not &quot;bait and switch&quot; at all.  The site owner is the one that says type=&quot;login&quot;, thereby explicitly asking the client to inject the user&#39;s preferred identity if possible.<br>


<br>Though your comment makes me realize that this isn&#39;t exactly login.  It&#39;s more the site saying &quot;I need an identity here.  If you, the browser, can supply one on behalf of the user, please do.  Otherwise, you can have them fill out whatever HTML form exists here and I&#39;ll do it myself.&quot; <br>
</div></div></blockquote><div><br></div><div>I think that&#39;s what I was getting at... that is, something that essentially indicates &quot;accepts_identification&quot;. What it does with that identification, who knows... This is kind of what I think InfoCards should be used for — and I actually tend to think that their card metaphor is the right one here.</div>
<div><br></div><div>How does InfoCard currently detect authentication? From the signin page for <a href="http://myopenid.com">myopenid.com</a>, it would appear that they embed an OBJECT in the page:</div><div><br></div><div>
<span class="Apple-style-span" style="font-family: Times; font-size: 10px; "><pre style="word-wrap: break-word; white-space: pre-wrap; ">&lt;OBJECT type=&quot;application/x-informationCard&quot;
        name=&quot;xmlToken&quot;
        class=&quot;skip&quot;&gt;
  &lt;PARAM Name=&quot;tokenType&quot;
         Value=&quot;urn:oasis:names:tc:SAML:1.0:assertion&quot;&gt;
  &lt;PARAM Name=&quot;issuer&quot;
         Value=&quot;<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/issuer/self">http://schemas.xmlsoap.org/ws/2005/05/identity/issuer/self</a>&quot;&gt;
  &lt;PARAM Name=&quot;requiredClaims&quot;
         Value=&quot;<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepersonalidentifier</a>&quot;&gt;
  &lt;PARAM Name=&quot;optionalClaims&quot;
         Value=&quot;<a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress</a> <a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname</a> <a href="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname</a>&quot;&gt;
&lt;/OBJECT&gt;</pre></span></div><div><br></div><div>I think we need something lighter weight... I don&#39;t know if this belongs in /site-meta, but the ability to detect whether a page 1) accepts identification 2) already has an identity associated with it seems the pertinent opportunity here.</div>
<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="gmail_quote"><div><br></div><div class="im"><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex">
<div class="gmail_quote"><div>Perhaps an alternative would be a meta tag or something like a rel-authenticate, to indicate that the page could be authenticated against? In this way, the browser could pop a dialog like &quot;would you like to signin/connect to this site?&quot; Once the user closes the browser or indicates a desire to end her session, the browser would be able to sign the user out of all their active sessions; upon resuming, the browser could auto-authenticate the user the next time they revisit the page (similar to Luke&#39;s proposal to auto-sign you in today). </div>



<div></div></div></blockquote></div><div><br>I agree this is necessary.  I suggested using HTTP auth headers, but a combination of HTTP headers and a meta tag would be good. <br></div></div></blockquote></div><div><br></div>
Cool. A metatag would be easiest, but of course we should consider this against /site-meta.<div><br></div><div>Chris<br><br clear="all"><br>-- <br>Chris Messina<br>Open Web Advocate<br><br><a href="http://factoryjoe.com">factoryjoe.com</a> // <a href="http://diso-project.org">diso-project.org</a> // <a href="http://openid.net">openid.net</a> // <a href="http://vidoop.com">vidoop.com</a><br>
This email is:   [ ] bloggable    [X] ask first   [ ] private<br>
</div>