+1<div><br></div><div>Everything about the response content should be signed. It just makes things simpler to process.<br><br><div class="gmail_quote">On Wed, Jan 5, 2011 at 02:40, Nat Sakimura <span dir="ltr"><<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Hi. <div><br></div><div>The current <a href="http://openidconnect.com" target="_blank">openidconnect.com</a> page has a variable "signed" in the response. </div>
<div>It is a new variable which is not present in the current OAuth draft. </div>
<div>The "signed" includes access_token and user_id among other things. It probably should be a JWT. </div><div><br></div><div>Should we continue to use "signed" or other variable name? </div><div><br>

</div><div>The reason why I am asking this are: </div><div><br></div><div>1. It looks a lot like a structured "code" or "access_token". Perhaps should we call it "access_token" (or "code") instead? </div>

<div>2. If we are to introduce a new variable, "signed" seem to be a little too generic. Is there a better name for it? (Perhaps "openid"?)</div><div><br></div><font color="#888888"><div><br>-- <br>Nat Sakimura (=nat)<br>
<a href="http://www.sakimura.org/en/" target="_blank">http://www.sakimura.org/en/</a><br>
<a href="http://twitter.com/_nat_en" target="_blank">http://twitter.com/_nat_en</a><br>
</div>
</font><br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>--Breno<br>
</div>