At the same time, though, as a best practice, we could recommend "openid" be the first in the list of scopes, I guess, perhaps in a "Note:". <div><br></div><div>Nat<br><br><div class="gmail_quote">2013/1/31 Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="http://openid.net/specs/openid-connect-messages-1_0.html#scopes" target="_blank">http://openid.net/specs/openid-connect-messages-1_0.html#scopes</a>, <a href="http://openid.net/specs/openid-connect-basic-1_0.html#scopes" target="_blank">http://openid.net/specs/openid-connect-basic-1_0.html#scopes</a>, and <a href="http://openid.net/specs/openid-connect-implicit-1_0.html#scopes" target="_blank">http://openid.net/specs/openid-connect-implicit-1_0.html#scopes</a>  - "openid" scope is REQUIRED.  Pretty unambiguous.<br>

<br>
We don't say that it should be first, since OAuth says that they're order-independent.<br>
<span class="HOEnZb"><font color="#888888"><br>
                                -- Mike<br>
</font></span><div class="im HOEnZb"><br>
-----Original Message-----<br>
From: Tim Bray [mailto:<a href="mailto:tbray@textuality.com">tbray@textuality.com</a>]<br>
Sent: Wednesday, January 30, 2013 2:15 PM<br>
To: Mike Jones<br>
</div><div class="HOEnZb"><div class="h5">Cc: Amanda Anganes; <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>
Subject: Re: [Openid-specs-ab] Behavior if the scope parameter is omitted<br>
<br>
Coincidentally I was just arguing with an implementer here who was being sloppy about leaving out the "openid..." in the scope, and I was wishing there were unambiguous language saying that "scope MUST be present and MUST begin with the token 'openid'", that I could use to beat this person over the head. Seems like that's what any sane person would do anyhow. -T<br>

<br>
On Wed, Jan 30, 2013 at 2:07 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> wrote:<br>
> Technically, the Connect specs are silent on what should happen if the<br>
> "openid" scope value isn't present.  The server could do anything that<br>
> it and its clients decide to do (including behaving as if the "openid"<br>
> scope value were present).  Omitting it isn't a good practice, however.<br>
><br>
><br>
><br>
>                                                                 --<br>
> Mike<br>
><br>
><br>
><br>
> From: <a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a><br>
> [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net">openid-specs-ab-bounces@lists.openid.net</a>] On Behalf Of Amanda<br>
> Anganes<br>
> Sent: Wednesday, January 30, 2013 2:01 PM<br>
> To: <a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a><br>
> Subject: [Openid-specs-ab] Behavior if the scope parameter is omitted<br>
><br>
><br>
><br>
> The OAuth 2.0 Specification, in section 3.3, says the following [1]:<br>
><br>
> If the client omits the scope parameter when requesting<br>
>    authorization, the authorization server MUST either process the<br>
>    request using a pre-defined default value or fail the request<br>
>    indicating an invalid scope.  The authorization server SHOULD<br>
>    document its scope requirements and default value (if defined).<br>
><br>
> Messages section 2.4 [2] does not give any additional guidance about<br>
> what to do if the client does not specify a scope value when making a<br>
> request; however, it does indicate that the "openid" scope value MUST<br>
> be included for the request to be treated as an OpenID Connect request<br>
> (rather than an OAuth<br>
> 2.0 request).<br>
><br>
> What is the server required/allowed to do if the client omits to send<br>
> the scope parameter? Does that MUST disallow an OIDC server from<br>
> defaulting a non-scoped request to include the "openid" scope?<br>
><br>
> [1] <a href="http://tools.ietf.org/html/rfc6749#section-3.3" target="_blank">http://tools.ietf.org/html/rfc6749#section-3.3</a><br>
> [2] <a href="http://openid.net/specs/openid-connect-messages-1_0.html#scopes" target="_blank">http://openid.net/specs/openid-connect-messages-1_0.html#scopes</a><br>
><br>
> --Amanda<br>
><br>
><br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
><br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>

</div>