<p dir="ltr">I don't think I have ever written a blog post on the evils of corporate America. What I said about OAuth2 interoperability is an objective fact which is not particularly harmful for OAuth2 in general but an issue for OIDC in particular.</p>

<p dir="ltr">There is enough ambiguity in how OAuth2 deals with redirect_uri  parameter to be a severe impediment to interoperability and a security risk. If we wish to have a larger discussion on the issue in general I guess this is a request that I do so disguised as a personal flame.</p>

<div class="gmail_quote">On Dec 5, 2012 8:08 AM, "Brian Campbell" <<a href="mailto:bcampbell@pingidentity.com">bcampbell@pingidentity.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Tue, Dec 4, 2012 at 5:41 PM, Breno de Medeiros <<a href="mailto:breno@google.com">breno@google.com</a>> wrote:<br>
><br>
> It's my reading of the OAuth2 spec that servers shouldn't break if<br>
> passed a redirect_uri on the authorization step.<br>
<br>
Sure but that's not at all what I was talking about. It's fine to<br>
disagree here but please take the time to try understand what is being<br>
said before being condescendingly dismissive of it. Justin followed<br>
the reasoning (thanks BTW Justin) so I don't think it's too much to<br>
ask or that I've been particularly unclear.<br>
<br>
> OTOH OAuth2 is an<br>
> spec with 'loose' interoperability targets. And that's ultimately the<br>
> motivation why OIDC needs often to go beyond OAuth2 specifications.<br>
> You don't have interoperability with OAuth2.<br>
<br>
Please spare that hyperbole for personal blog posts attacking the<br>
evils of big corporate America. It's a crutch argument that's largely<br>
untrue and any interoperability problems that OAuth 2 might suffer are<br>
certainly not due to the conditional optionality of one request<br>
parameter.<br>
</blockquote></div>