<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
</head>
<body ocsi="0" fpstyle="1" style="word-wrap: break-word;">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Nothing that is currently enabled by the MAC spec, and at the moment nothing within scope of Connect. Having your query/form parameters signed by a secret key as a second layer
 of assurance (above server-side SSL) is a very handy thing indeed, and we've been using 2-legged OAuth 1.0 to do just that for years now. But at the moment, the MAC spec only cares about headers and cookies, so we can't pass around short-lived signed URLs
 to untrusted clients with the new stuff. Still hoping we can work something out that it comes around, but nothing seems to be moving there yet.<br>
<br>
In any case, I'm fine with keeping it Bearer, but I wanted to make sure that this was a conscious decision and not a matter of omission.<br>
<br>
 -- Justin<br>
<br>
<div style="font-family: Times New Roman; color: rgb(0, 0, 0); font-size: 16px;">
<hr tabindex="-1">
<div style="direction: ltr;" id="divRpF506843"><font color="#000000" face="Tahoma" size="2"><b>From:</b> John Bradley [ve7jtb@ve7jtb.com]<br>
<b>Sent:</b> Saturday, October 15, 2011 10:58 AM<br>
<b>To:</b> Nat Sakimura<br>
<b>Cc:</b> Richer, Justin P.; openid-specs-ab@lists.openid.net<br>
<b>Subject:</b> Re: [Openid-specs-ab] UserInfo Request<br>
</font><br>
</div>
<div></div>
<div>I agree with Nat.  So far we have not seen any use case for MAC, that are not more easily acheved with JWT based bearer tokens.
<div><br>
</div>
<div>With MAC tokens the only theoretical advantage is that you can store them as a cookie over a non SSL connection. </div>
<div>However you still need to store the per token secret, negating most of the advantage.</div>
<div><br>
</div>
<div>If you have a specific use case, that you think is not covered, then please contribute it so we can discuss it.</div>
<div><br>
</div>
<div>At the moment for simplicity and interoperability openID Connect is bearer only.</div>
<div><br>
</div>
<div>John B.</div>
<div><br>
</div>
<div><br>
<div>
<div>On 2011-09-29, at 11:00 AM, Nat Sakimura wrote:</div>
<br class="Apple-interchange-newline">
<blockquote type="cite">
<p>As far as I understand, it was both for the simplivity and interoperability. Besides, MAC does not add much in termd og security.
</p>
<div class="gmail_quote">2011/09/29 22:40 "Richer, Justin P." <<a href="mailto:jricher@mitre.org" target="_blank">jricher@mitre.org</a>>:<br type="attribution">
> Sorry if this has been covered before, but am I missing why MAC or some other OAuth2-bound token can't be used in OpenID Connect? Is it for the sake of simplicity ("just pick one") or interoperability ("... and stick with it"), or is something else strongly
 binding to the Bearer spec?<br>
> <br>
> -- Justin<br>
> ________________________________________<br>
> From: <a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">
openid-specs-ab-bounces@lists.openid.net</a> [<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf Of Anthony Nadalin [<a href="mailto:tonynad@microsoft.com" target="_blank">tonynad@microsoft.com</a>]<br>
> Sent: Wednesday, September 28, 2011 10:51 PM<br>
> To: Nat Sakimura<br>
> Cc: <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>
> Subject: Re: [Openid-specs-ab] UserInfo Request<br>
> <br>
> I think itís confusing the way it reads as it does not give me an option to use the OAUTH Core, so how would I know????<br>
> <br>
> From: Nat Sakimura [mailto:<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>]<br>
> Sent: Wednesday, September 28, 2011 5:21 PM<br>
> To: Anthony Nadalin<br>
> Cc: <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>
> Subject: Re: [Openid-specs-ab] UserInfo Request<br>
> <br>
> I think it does. OAuth allows access_token to be used in HTTP header, GET param, and POST param (body), and the text goes "Access tokens sent in the authorization header must be Bearer tokens<<a href="http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bearer" target="_blank">http://openid.net/specs/openid-connect-standard-1_0.html#OAuth.2.0.Bearer</a>>[OAuth.2.0.Bearer].
 If the client is using the HTTP GET method, it SHOULD send the access token in the authorization header." so it is saying:<br>
> <br>
> 1. If the access_token is sent in the HTTP header, it has to use the Bearer tokens scheme.<br>
> 2. If the request is GET, it has to use HTTP header to send the access_token.<br>
> (3. Implicitly, because OAuth allows - do as the OAuth says for the POST, i.e., Body.)<br>
> <br>
> Are you suggesting that we should add 3. so that people does not have to read OAuth.2.0.Bearer?<br>
> <br>
> =nat<br>
> <br>
> <br>
> On Thu, Sep 29, 2011 at 7:27 AM, Anthony Nadalin <<a href="mailto:tonynad@microsoft.com" target="_blank">tonynad@microsoft.com</a><mailto:<a href="mailto:tonynad@microsoft.com" target="_blank">tonynad@microsoft.com</a>>> wrote:<br>
> In <a href="http://openid.net/specs/openid-connect-standard-1_0.html#anchor19" target="_blank">
http://openid.net/specs/openid-connect-standard-1_0.html#anchor19</a> it does not call out the use of the body as an option for the access token, since access tokens can get large there may be issues using only the header, the bearer token specification allows
 usage of the body, so should the openid standard specification.<br>
> <br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><mailto:<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a>><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">
http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
> <br>
> <br>
> <br>
> --<br>
> Nat Sakimura (=nat)<br>
> Chairman, OpenID Foundation<br>
> <a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>
> @_nat_en<br>
> <br>
</div>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
http://lists.openid.net/mailman/listinfo/openid-specs-ab<br>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</body>
</html>