<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p

        {mso-style-priority:99;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

span.EmailStyle18

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If we’re concerned about this change, we should begin discussing it on the OAuth mailing list and lobbying to have it undone.  Discussing it on the AB list

 won’t accomplish this.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">                                                            -- Mike<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openid-specs-ab-bounces@lists.openid.net [mailto:openid-specs-ab-bounces@lists.openid.net]

<b>On Behalf Of </b>Breno de Medeiros<br>

<b>Sent:</b> Wednesday, March 14, 2012 9:26 AM<br>

<b>To:</b> Nat Sakimura<br>

<b>Cc:</b> openid-specs-ab@lists.openid.net<br>

<b>Subject:</b> Re: [Openid-specs-ab] Breaking change in OAuth 2.0 rev. 23<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p>I am quite confused with this change.<o:p></o:p></p>

<p>In particular, I am not sure response_type is anymore relevant. Can't it be inferred from the client, since each client is bound to a security context?<o:p></o:p></p>

<div>

<p class="MsoNormal">On Mar 14, 2012 7:37 AM, "Nat Sakimura" <<a href="mailto:sakimura@gmail.com" target="_blank">sakimura@gmail.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal">Good to know it. I thought an extension could only extend from an extension point but could not override a normative  language. If it can, it would not be a problem. <br>

<br>

=nat via iPhone<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On 2012/03/14, at 10:25, "Richer, Justin P." <<a href="mailto:jricher@mitre.org" target="_blank">jricher@mitre.org</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">Not true -- extensions can override MUST requirements if they specify the conditions that break it.

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Mar 14, 2012, at 10:22 AM, Nat Sakimura wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal">The problem is the normative MUST language. If it were SHOULD, it is less of the problem. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Since it is a MUST, we cannot extend it. That is the problem that I am pointing  out. <br>

<br>

=nat via iPhone<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On 2012/03/14, at 10:17, nov matake <<a href="mailto:nov@matake.jp" target="_blank">nov@matake.jp</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<p class="MsoNormal">This is the only discussion about this change.<o:p></o:p></p>

</div>

<p class="MsoNormal"><a href="http://www.ietf.org/mail-archive/web/oauth/current/msg08271.html" target="_blank">http://www.ietf.org/mail-archive/web/oauth/current/msg08271.html</a>

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">And this is the response I got in OAuth ML.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><a href="http://www.ietf.org/mail-archive/web/oauth/current/msg08548.html" target="_blank">http://www.ietf.org/mail-archive/web/oauth/current/msg08548.html</a><o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">According to the Eran's reply, I thought extensions (eg. response_type=code token) can overwrite the requirement.<o:p></o:p></p>

</div>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">On 2012/03/14, at 22:22, Nat Sakimura wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><br>

<br>

=nat via iPhone<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

On 2012/03/14, at 7:33, "Richer, Justin P." <<a href="mailto:jricher@mitre.org" target="_blank">jricher@mitre.org</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">The way I read it, "code token" is its own type, and it needs to be treated

<o:p></o:p></p>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">My first take was that but the text goes:  <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">a distributed client with both a confidential<br>

server-based component and a public browser-based component), <b>MUST</b><br>

register each component separately as a different client<o:p></o:p></p>

</div>

</blockquote>

</div>

</div>

</div>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">so looks to me that it does not allow that interpretation... <o:p></o:p></p>

<div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<div>

<p class="MsoNormal">differently from either "code" or "token", which isn't a change. What the intent of the text is, I believe, is to keep people from using the same client id with "code" as with "token". This would effectively be mixing public and private

 clients in the most normal use cases, which is the section that it's in, and that's not a good thing. 

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I don't think it's actually a breaking change, but I'm less convinced of the utility of normative language here.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal"> -- Justin<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Mar 14, 2012, at 7:02 AM, Nat Sakimura wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<p class="MsoNormal">I only noticed now that rev 23 had a breaking change. it seems to<br>

doesn't allow the response_type=code token unless we define another client type such as "hybrid". 

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">This is a breaking change. <br>

<br>

I wonder why I did not notice it till now. <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><br>

See below.<br>

<br>

>From section 2.1of<br>

<a href="http://tools.ietf.org/rfcdiff?difftype=--hwdiff&url2=draft-ietf-oauth-v2-23.txt" target="_blank">http://tools.ietf.org/rfcdiff?difftype=--hwdiff&url2=draft-ietf-oauth-v2-23.txt</a><br>

<br>

"A client application consisting of multiple components, each with its<br>

own client type (e.g. a distributed client with both a confidential<br>

server-based component and a public browser-based component), <b>MUST</b><br>

register each component separately as a different client to ensure<br>

proper handling by the authorization server."<br>

<br>

Discuss. <br clear="all">

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">-- <br>

Nat Sakimura (=nat) <o:p></o:p></p>

<div>

<p class="MsoNormal">Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>

@_nat_en<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</blockquote>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></p>

</div>

</div>

</body>

</html>