<HTML>
<HEAD>
<TITLE>Feedback on latest drafts</TITLE>
</HEAD>
<BODY>
<FONT FACE="Lucida Grande"><SPAN STYLE='font-size:11pt'>Sorry I’ve been checked out for a bit.  Swamped at work and just catching up.   Feedback on the latest drafts:<BR>
<BR>
General: I know it’s well understood, but I’ll re-iterate that the current document organization is extremely hard to follow.    I’d prefer one document for core/minimal, and additional documents for disco, registration, and session that layer on top.   I’d also consider moving the request file method to a separate doc.  In that light, I don’t understand the existence of  “framework” at all. <BR>
<BR>
General: Let’s add some language on when/why to choose the various request methods. <BR>
<BR>
http-redirect 3.1.1:  would like to see display=touch.   There is precedent for this in at least the salesforce and facebook implementations, as well as the draft submission david put out awhile back <BR>
<BR>
http-redirect 3.1.1:  The overlap between prompt, pape, and max_auth_age in the id_token is confusing.   I like the simplicity of prompt, but need the flexability of max_auth_age    <BR>
<BR>
http-redirect 3.1.1:  id_token_audience is never really defined<BR>
<BR>
http-redirect 3.1.1:  select_ account seems references “the account in the request” but I can’t find any means of specifying an account in a request<BR>
<BR>
http-redirect 3.1.5:  I don’t think we should be defining secret_type in this spec.  I’d rather see this inherit from the assertion work in core oauth. <BR>
<BR>
http-redirect 3.1.1: It’s not clear the difference between the query parameters method and the request parameter method.   Are all the values from the request parameter supposed to be serializable as query params, or is this just the simplest possible request and hence the request param can be eliminated?<BR>
<BR>
session: we don’t ever stop to explain what an id_token is in relation to an access_token and why/when you’d want to use one.   Should be covered in terminology.<BR>
<BR>
http-redirect general: If we want a minimal flow, and then layered documents like session, there are some odd dependencies between the two.   Http-redirect references and uses id_tokens without any explanation.  Only when you get to session do you really get some info on what they are.<BR>
<BR>
-cmort<BR>
<BR>
 </SPAN></FONT>
</BODY>
</HTML>