<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">

Right, this, too. A client could effectively have two personae.

<div><br>

</div>

<div>

<div>

<div>On Mar 14, 2012, at 10:28 AM, Anthony Nadalin wrote:</div>

<br class="Apple-interchange-newline">

<blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; ">

<div bgcolor="white" lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1" style="page: WordSection1; ">

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">The change does not preclude these being the same physical client<o:p></o:p></span></div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p> </o:p></span></div>

<div>

<div style="border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; border-top-style: solid; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding-top: 3pt; padding-right: 0in; padding-bottom: 0in; padding-left: 0in; ">

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space"> </span><a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>

 [mailto:openid-specs-ab-bounces@lists.openid.net]<span class="Apple-converted-space"> </span><b>On Behalf Of<span class="Apple-converted-space"> </span></b>Nat Sakimura<br>

<b>Sent:</b><span class="Apple-converted-space"> </span>Wednesday, March 14, 2012 7:22 AM<br>

<b>To:</b><span class="Apple-converted-space"> </span>nov matake<br>

<b>Cc:</b><span class="Apple-converted-space"> </span><<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>><br>

<b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Openid-specs-ab] Breaking change in OAuth 2.0 rev. 23<o:p></o:p></span></div>

</div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

The problem is the normative MUST language. If it were SHOULD, it is less of the problem. <o:p></o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Since it is a MUST, we cannot extend it. That is the problem that I am pointing  out. <br>

<br>

=nat via iPhone<o:p></o:p></div>

</div>

<div>

<p class="MsoNormal" style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

On 2012/03/14, at 10:17, nov matake <<a href="mailto:nov@matake.jp" style="color: blue; text-decoration: underline; ">nov@matake.jp</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top: 5pt; margin-bottom: 5pt; ">

<div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

This is the only discussion about this change.<o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<a href="http://www.ietf.org/mail-archive/web/oauth/current/msg08271.html" style="color: blue; text-decoration: underline; ">http://www.ietf.org/mail-archive/web/oauth/current/msg08271.html</a><o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

And this is the response I got in OAuth ML.<o:p></o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<a href="http://www.ietf.org/mail-archive/web/oauth/current/msg08548.html" style="color: blue; text-decoration: underline; ">http://www.ietf.org/mail-archive/web/oauth/current/msg08548.html</a><o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

According to the Eran's reply, I thought extensions (eg. response_type=code token) can overwrite the requirement.<o:p></o:p></div>

</div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

On 2012/03/14, at 22:22, Nat Sakimura wrote:<o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

=nat via iPhone<o:p></o:p></div>

</div>

<div>

<p class="MsoNormal" style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

On 2012/03/14, at 7:33, "Richer, Justin P." <<a href="mailto:jricher@mitre.org" style="color: blue; text-decoration: underline; ">jricher@mitre.org</a>> wrote:<o:p></o:p></p>

</div>

<blockquote style="margin-top: 5pt; margin-bottom: 5pt; ">

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

The way I read it, "code token" is its own type, and it needs to be treated<o:p></o:p></div>

</div>

</blockquote>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

My first take was that but the text<span class="Apple-converted-space"> </span><span class="apple-style-span">goes: </span><o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<blockquote style="margin-top: 5pt; margin-bottom: 5pt; ">

<div>

<div>

<div>

<blockquote style="margin-top: 5pt; margin-bottom: 5pt; ">

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

a distributed client with both a confidential<br>

server-based component and a public browser-based component), <b>MUST</b><br>

register each component separately as a different client<o:p></o:p></div>

</div>

</blockquote>

</div>

</div>

</div>

</blockquote>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<span class="apple-style-span">so looks to me that it does not allow that interpretation... </span><o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

differently from either "code" or "token", which isn't a change. What the intent of the text is, I believe, is to keep people from using the same client id with "code" as with "token". This would effectively be mixing public and private clients in the most

 normal use cases, which is the section that it's in, and that's not a good thing. <o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

I don't think it's actually a breaking change, but I'm less convinced of the utility of normative language here.<o:p></o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

 -- Justin<o:p></o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

<div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

On Mar 14, 2012, at 7:02 AM, Nat Sakimura wrote:<o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

<br>

<o:p></o:p></div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

I only noticed now that rev 23 had a breaking change. it seems to<br>

doesn't allow the response_type=code token unless we define another client type such as "hybrid". <o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

This is a breaking change. <br>

<br>

I wonder why I did not notice it till now. <o:p></o:p></div>

</div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<br>

See below.<br>

<br>

>From section 2.1of<br>

<a href="http://tools.ietf.org/rfcdiff?difftype=--hwdiff&url2=draft-ietf-oauth-v2-23.txt" target="_blank" style="color: blue; text-decoration: underline; ">http://tools.ietf.org/rfcdiff?difftype=--hwdiff&url2=draft-ietf-oauth-v2-23.txt</a><br>

<br>

"A client application consisting of multiple components, each with its<br>

own client type (e.g. a distributed client with both a confidential<br>

server-based component and a public browser-based component),<span class="Apple-converted-space"> </span><b>MUST</b><br>

register each component separately as a different client to ensure<br>

proper handling by the authorization server."<br>

<br>

Discuss. <br clear="all">

<o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

--<span class="Apple-converted-space"> </span><br>

Nat Sakimura (=nat)<o:p></o:p></div>

<div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

Chairman, OpenID Foundation<br>

<a href="http://nat.sakimura.org/" target="_blank" style="color: blue; text-decoration: underline; ">http://nat.sakimura.org/</a><br>

@_nat_en<o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" style="color: blue; text-decoration: underline; ">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color: blue; text-decoration: underline; ">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</div>

</div>

</div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" style="color: blue; text-decoration: underline; ">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color: blue; text-decoration: underline; ">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><o:p></o:p></div>

</div>

<div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; ">

<o:p> </o:p></div>

</div>

</blockquote>

</div>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" style="color: blue; text-decoration: underline; ">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color: blue; text-decoration: underline; ">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></div>

</span></blockquote>

</div>

<br>

</div>

</body>

</html>