While I sympathise with the need for flexibility, for the interoperability, profiling narrowly would be a good thing. <div><br></div><div>As to the criticism [1], I would not actually care. It is just the matter of using signed and possibly encrypted JWT as access_token if you wanted more security. The initial request should be 'request' parameter, which is again a signed and possibly encrypted JWT. The HTTP authorization scheme still can be bearer. </div>
<div><br></div><div>OAuth 2.0 resource access can be similarly covered. </div><div>Instead of using query parameters as the request parameters, sending Signed JWT would solve it. </div><div><br></div><div>=nat<br><br><div class="gmail_quote">
2011/9/2 Andreas Åkre Solberg <span dir="ltr"><<a href="mailto:andreas.solberg@uninett.no">andreas.solberg@uninett.no</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word"><div>In the Messages document:</div><br><blockquote type="cite"><span style="font-family:verdana, charcoal, helvetica, arial, sans-serif;font-size:small"><p style="margin-left:2em;margin-right:2em">
This specification further constrains that only <a href="http://openid.net/specs/openid-connect-messages-1_0.html#OAuth.2.0.Bearer" style="font-weight:bold;text-decoration:none;color:rgb(153, 0, 0);background-color:transparent" target="_blank">Bearer Tokens</a> [OAuth.2.0.Bearer] are issued at the Token endpoint. The OAuth 2.0 response parameter "<tt style="color:rgb(0, 51, 102);font-family:'Courier New', Courier, monospace;font-size:small">token_type</tt>" MUST be set to "<tt style="color:rgb(0, 51, 102);font-family:'Courier New', Courier, monospace;font-size:small">Bearer</tt>".</p>
</span></blockquote><div><br></div><div>First, I would say that even if I think it is OK to use bearer tokens, I would strongly advise to not restrict the types of tokens to this particular type for all future use. Bearer is criticized a lot [1].</div>
<div><br></div><div>Second, if you restrict the type of token to bearer, you can save the effort of defining the JWT token type in the 'Standards' document.</div><div><br></div>[1]: <a href="http://hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/" target="_blank">http://hueniverse.com/2010/09/oauth-2-0-without-signatures-is-bad-for-the-web/</a><br>
<div><br></div><div><br></div><div>Also, the example in sect 6.1 uses access_token, while I think it should be bearer_token.</div><div><br></div></div><br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div><br>

</div>