
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal">(Special Tuesday call today because US Memorial Day was yesterday)<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">John Bradley<o:p></o:p></p>

<p class="MsoNormal">Mike Jones<o:p></o:p></p>

<p class="MsoNormal">Edmund Jay<o:p></o:p></p>

<p class="MsoNormal">Breno de Medeiros<o:p></o:p></p>

<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">John talked about his e-mail 5/29/11 e-mail: “Implicit grant”.  The problem is that there is no audience restriction in implicit grant – problem with eliminating OpenID Token.  This allows any RP to use the token to impersonate you at any

 other RP!  (The same security hole is present in Facebook Connect.)  Implementing Breno’s proposed TokenInfo endpoint is one way of closing this hole.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Breno asked whether we want to revisit the JWT decision to use short names and whether we want to perhaps document both long and short names for the JWT claims.  Mike pointed out that people are already using the existing names and that

 having two names for the same thing is almost always an interoperability disaster.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Breno asked whether we want to change the parameter name from “openid” to something indicating the format of the token – for instance JWT and unsigned formats.  The type name should include a version number, enabling the format to be revised. 

 For instance, “connect1.0”.  Breno wants the token format to be moved outside the core spec.  He said that RPs could then work without understanding the token content by using an RPC mechanism.  This would allow Facebook to be compliant with the core spec

 without supporting a new token format.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">This can be interoperable in the following way:  If an IdP receives a request for a token format that it doesn’t understand, it just doesn’t return it.  Then the RP can fall back to an RPC using the TokenInfo endpoint.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The MIME Type will be used to disambiguate response types, rather than sniffing the content (as was the case in Mike’s write-up during the EIC).<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Breno had talked with Facebook last week about the UserInfo endpoint schema.  They prefer something using names with underscores and lowercase rather than camelCase.  He will send notes on their preferred field names to the list.  Meanwhile

 Edmund has written up a schema spec capturing the schema decisions at IIW based on a subset of Portable Contacts.  We expect a productive discussion on the list and during the next call about these choices.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">                                                            -- Mike<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>