
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">

<div>On 1/5/11 2:40 AM, "Nat Sakimura" <<a href="mailto:sakimura@gmail.com">sakimura@gmail.com</a>> wrote:</div>

<span id="OLK_SRC_BODY_SECTION">

<blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;">

Hi. 

<div><br>

</div>

<div>The current <a href="http://openidconnect.com">openidconnect.com</a> page has a variable "signed" in the response. </div>

<div>It is a new variable which is not present in the current OAuth draft. </div>

<div>The "signed" includes access_token and user_id among other things. It probably should be a JWT.</div>

</blockquote>

</span>

<div><br>

</div>

<div>Yeah, it should be a signed JWT. I spec'd it out before JWT was really concrete. I believe the key names would largely remain the same.</div>

<div><br>

</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;">

<div> Should we continue to use "signed" or other variable name?</div>

</blockquote>

</span>

<div><br>

</div>

<div>Chose `signed` because the OAuth response contains some of these same parameters (e.g. `access_token`) in an unsigned form. Calling it signed makes it really clear to the developer that this is signed data and they should be verifying the signature.</div>

<div><br>

</div>

<div>I don't think we should call it `access_token` or `code` especially since an access token is contained within it.</div>

<div><br>

</div>

<div>I'm not strongly against calling it `openid` but also not convinced that it's necessary.</div>

<div><br>

</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;">

<div>The reason why I am asking this are: </div>

<div><br>

</div>

<div>1. It looks a lot like a structured "code" or "access_token". Perhaps should we call it "access_token" (or "code") instead? </div>

<div>2. If we are to introduce a new variable, "signed" seem to be a little too generic. Is there a better name for it? (Perhaps "openid"?)</div>

<div><br>

</div>

<div><br>

-- <br>

Nat Sakimura (=nat)<br>

<a href="http://www.sakimura.org/en/">http://www.sakimura.org/en/</a><br>

<a href="http://twitter.com/_nat_en">http://twitter.com/_nat_en</a><br>

</div>

</blockquote>

</span>

</body>

</html>