<html><head></head><body bgcolor="#FFFFFF"><div>Good point. </div><div><br></div><div>In addition, sometimes it is useful to have a token that survives password change as well. E.g., the token for email clients while using OTP on the web side. <span class="Apple-style-span" style> </span></div>
<div><br>Nat Sakimura</div><div><br>On 2012/01/18, at 4:53, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div>Do we need a standard scope for requesting offline access (long-lived access token)?<div>
<br></div><div>Some IdP use a scope for offline_access.</div><div><br></div><div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px">Enables your application to perform authorized requests on behalf of the user at any time. By default, most access tokens expire after a short time period to ensure applications only make requests on behalf of the user when the are actively using the application. This permission makes the access token returned by our OAuth endpoint long-lived.</span></div>
<div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px"><br></span></div><div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px">What is the default openID Connect access token lifetime without such a scope?</span></div>
<div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px"><br></span></div><div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px">Single use? 30min? Session duration?</span></div>
<div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:14px;line-height:18px"><br></span></div><div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">There are also some undefined states in OAuth 2.0 with expires_in.</span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">I would propose that openID connect access tokens are single use by default.  </span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">A server not sending expires_in is indicating default expiry behavior.</span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">A server may make them longer lived by indicating that with expires_in.</span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">A value of 0 for expires_in indicates the token will not expire due to time, though it may due to password reset or users revoking access.</span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">Facebook seems to use the 0 value but I can't find it documented anyplace.</span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">If we go with single use the client can always get another token,  and the client doesn't need to worry about storing access tokens in the simple case. </span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px">It will help  if we can </span></font><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;line-height:18px;font-size:large">interop make this consistent across IdP.</span></div>
<div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;line-height:18px;font-size:large"><br></span></div><div><span class="Apple-style-span" style="border-collapse:collapse;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;line-height:18px;font-size:large">John</span></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
<div><font class="Apple-style-span" face="Arial, 'Liberation Sans', 'DejaVu Sans', sans-serif" size="4"><span class="Apple-style-span" style="border-collapse:collapse;line-height:18px"><br></span></font></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Openid-specs-ab mailing list</span><br><span><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a></span><br>
<span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></span><br></div></blockquote></body></html>