
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoAcetate, li.MsoAcetate, div.MsoAcetate

        {mso-style-priority:99;

        mso-style-link:"Balloon Text Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:8.0pt;

        font-family:"Tahoma","sans-serif";}

span.apple-style-span

        {mso-style-name:apple-style-span;}

span.EmailStyle18

        {mso-style-type:personal;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

span.EmailStyle19

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#002060;}

span.BalloonTextChar

        {mso-style-name:"Balloon Text Char";

        mso-style-priority:99;

        mso-style-link:"Balloon Text";

        font-family:"Tahoma","sans-serif";}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">I agree with Tony here.  He and I both read the Basic and Standard specs to see if the parameter could be passed in the body, and to both of us, it appeared

 that OpenID Connect (as a profile of OAuth 2.0) was intentionally ruling this out.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">Nat, could you maybe add an issue in the issue tracker to clean up this language, at least in the Standard spec, to make it clear that all the OAuth 2.0 parameter

 passing methods can be used?  (Breno should like this too. </span><span style="font-size:11.0pt;font-family:Wingdings;color:#002060">J</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                            Thanks,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#002060"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openid-specs-ab-bounces@lists.openid.net [mailto:openid-specs-ab-bounces@lists.openid.net]

<b>On Behalf Of </b>Anthony Nadalin<br>

<b>Sent:</b> Wednesday, September 28, 2011 7:52 PM<br>

<b>To:</b> Nat Sakimura<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] UserInfo Request<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I think it’s confusing the way it reads as it does not give me an option to use the OAUTH Core, so how would I know????<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nat Sakimura [mailto:sakimura@gmail.com]

<br>

<b>Sent:</b> Wednesday, September 28, 2011 5:21 PM<br>

<b>To:</b> Anthony Nadalin<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] UserInfo Request<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I think it does. OAuth allows access_token to be used in HTTP header, GET param, and POST param (body), and the text goes "<span class="apple-style-span"><span style="font-family:"Verdana","sans-serif";background:white">Access tokens sent

 in the authorization header must be <a href="http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bearer"><b><span style="color:#990000;text-decoration:none">Bearer tokens</span></b></a>[OAuth.2.0.Bearer]. If the client is using the HTTP GET

 method, it SHOULD send the access token in the authorization header." so it is saying: </span></span><o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">1. If the access_token is sent in the HTTP header, it has to use the Bearer tokens scheme. </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">2. If the request is GET, it has to use HTTP header to send the access_token. </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">(3. Implicitly, because OAuth allows - do as the OAuth says for the POST, i.e., Body.) </span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">Are you suggesting that we should add 3. so that people does not have to read <span class="apple-style-span"><span style="background:white">OAuth.2.0.Bearer? </span></span></span><o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif"">=nat</span><o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Thu, Sep 29, 2011 at 7:27 AM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com">tonynad@microsoft.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">In

<a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19" target="_blank">

http://openid.net/specs/openid-connect-standard-1_0.html#anchor19</a> it does not call out the use of the body as an option for the access token, since access tokens can get large there may be issues using only the header, the bearer token specification allows

 usage of the body, so should the openid standard specification.<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat)<o:p></o:p></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</body>

</html>