<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">That is what the RP should use nonce to stop.  If in the new session it creates a new nonce value,  that won't match the nonce in the id_token.<div><br></div><div>If the RP has logged the user out it should not start a new session based solely on an old id_token.</div><div><br></div><div>If the original user is still logged into the IdP then the attacker can probably login as you unless the RP is forcing a reauth.</div><div><br></div><div>In session management, we have added a logout method.  The User is redirected back to the IdP where they can logout of the IdP and stop refresh tokens from being generated.</div><div><br></div><div>I think RP should use the logout functionality to stop the long lived IdP session attack.  That is the biggest problem.</div><div><br></div><div>So the short answer is that nonce protects against the use of a id_token in a different session.  </div><div><br></div><div>You will probably rightly point out that needs a better explanation in the spec. </div><div><br></div><div>It is also possible that Breno has something else in mind.</div><div><br></div><div>John B.<br><div><div>On 2011-09-01, at 5:36 PM, Andreas Åkre Solberg wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div>On 1. sep.2011, at 19:56, John Bradley wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">I think you are referring to XSRF protection for the Refresh Session endpoint.<div><br></div><div>Check Session is a direct POST from the client to the Check Session endpoint, for a web server client that would not go through the browser.</div></span></blockquote></div><br><div>You're right, I did a typo; I meant the refresh session endpoint (not the check session endpoint).</div><div><br></div><div>However, my concern was <b>not</b> about XSRF. (that is sort of handled by the state, right?)</div><div><br></div><div>My concern is that: you may log in and out again on your computer; and there may be a 'valid ID Token JWT' in your browser log (the JWT is not invalidated when you log out), which means that when I borrow your PC afterwards, I can get access to that token, and use it to update my own session (to be authenticated as you) - at the RP.</div><div><br></div><div>Andreas</div></div></blockquote></div><br></div></body></html>