<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">PAPE doesn't require synchronized clocks.    I know Dirk was fixating on that at one point.<div><br></div><div>The request is in seconds.</div><div><br></div><div>The response is the time of the last authentication.  </div><div>Getting a pape.auth_time in the response tells you the IdP honoured the request.   The time itself is extra info.</div><div><br></div><div>In a lot of cases tracking the RP nonce will be more complicated.  </div><div><br></div><div>I don't hate the proposal, or anything like that.   </div><div><br></div><div>If the RP takes the nonce in the request, and puts it in the ID token, I don't see how that confirms that the IdP re prompted the user.  </div><div>If the request is unsigned then the user could have removed the prompt=login from the request.</div><div><br></div><div>Is prompt= in the returned ID token as well?</div><div><br></div><div>I can see the RP nonce being useful potentially for other RP state info perhaps.</div><div>Perhaps nonce is not the correct name?</div><div><br></div><div>John B.</div><div><div><div>On 2011-06-13, at 6:53 PM, Breno de Medeiros wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="font-family: monospace; "><blockquote type="cite"><br class="Apple-interchange-newline">They discussed a nonce parameter<br></blockquote><blockquote type="cite"><br></blockquote><blockquote type="cite">                John wasn't sure what they were trying to accomplish with<br></blockquote><blockquote type="cite">this<br></blockquote><br>I think FB use case is to create a version of PAPE that doesn't<br>require synchronized clocks. One can send a nonce and prompt=login and<br>check the nonce to validate user was prompted. I found that<br>interesting for discussion here.<br><br></span></span><br class="Apple-interchange-newline"></blockquote></div><br></div></body></html>