<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Hi Martin,<br>
<br>
The Yahoo OP returns the OpenID URL of the authenticated user in the
response, so the RP does know who the user is. I believe that this is
consistent with the OpenID 2.0 spec.<br>
<br>
Thanks<br>
Allen<br>
<br>
<br>
Martin Atkins wrote:
<blockquote cite="mid:48FE2EF3.20308@degeneration.co.uk" type="cite">
  <pre wrap="">SitG Admin wrote:
  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">We should never ignore any part of what the user enters.
      </pre>
    </blockquote>
    <pre wrap="">That's what I thought, but then Directed Identity takes 'me.yahoo.com' 
and wants to turn it into a more meaningful username ;)

    </pre>
  </blockquote>
  <pre wrap=""><!---->
If you read "me.yahoo.com" as "me at Yahoo!" then it makes sense.

Yahoo!'s implementation is interesting in that (at least, when I last 
checked, which was admittedly several months ago) even if you enter your 
own identifer rather than the OP identifier it'll ignore the supplied 
identifier and just verify the authenticated user. This has the same 
effect as ignoring the user part of the email address; a user can be 
unexpectedly switched to a different user account. This is particularly 
troublesome when delegation is used.




_______________________________________________
general mailing list
<a class="moz-txt-link-abbreviated" href="mailto:general@openid.net">general@openid.net</a>
<a class="moz-txt-link-freetext" href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a>
  </pre>
</blockquote>
<br>
</body>
</html>