
<br><br><div class="gmail_quote">On Tue, Jul 19, 2011 at 2:42 PM, Chuck Mortimore <span dir="ltr"><<a href="mailto:cmortimore@salesforce.com">cmortimore@salesforce.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


<div>

<font face="Lucida Grande"><span style="font-size:11pt">Few more comments:<br>

<br>

http-redirect:  Can you only get an id_token with the request method?<br></span></font></div></blockquote><div><br></div><div>You should be able to get even in query string method. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div><font face="Lucida Grande"><span style="font-size:11pt">

<br>

session 3.2.3: We should consider how this relates to the token revocation draft, given both Google and Salesforce will be shipping<br></span></font></div></blockquote><div><br></div><div>Good point. Could you point me to the relevant doc/section? </div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><font face="Lucida Grande"><span style="font-size:11pt">

<br>

client-registration 4.1: would like to see PEM encoded x509 as an option for clients that can't host a jwk<br></span></font></div></blockquote><div><br></div><div>Good. I wanted that as well. Actually, it went missing among editing, I guess. I remember it was there at some point and there were no decisions to remove it. </div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><font face="Lucida Grande"><span style="font-size:11pt">

<br>

client-registration: I believe we need to protect the service itself with oauth - almost all of us have applications owned by a developer account, and hence we need some authentication to perform the binding to that account<br>

</span></font></div></blockquote><div><br></div><div>I think the authn should be optional. To be truly dynamic, we should not require pre-registration of the developer account.   </div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div><font face="Lucida Grande"><span style="font-size:11pt">

<br>

-cmort</span></font>

</div>


<br>_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

<br></blockquote></div><br><br clear="all"><br>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>