
<div dir="ltr"><div>This depends on the response_type parameter of the authorization request.</div><div><br></div><div>- response_type=id_token token</div><div>ID Token includes at_hash.</div><div><br></div><div>- response_type=code id_token</div>

<div>ID Token includes c_hash.</div><div><br></div><div>- response_type=code id_token token</div><div>ID Token includes both c_hash and at_hash.</div><div><br></div><div>- response_type=code (Basic Profile)</div><div>ID Token doesn't need to include both.</div>

<div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/5/6 Pamela Dingle <span dir="ltr"><<a href="mailto:issues-reply@bitbucket.org" target="_blank">issues-reply@bitbucket.org</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">New issue 833: at_hash required in messages, missing in basic profile<br>

<a href="https://bitbucket.org/openid/connect/issue/833/at_hash-required-in-messages-missing-in" target="_blank">https://bitbucket.org/openid/connect/issue/833/at_hash-required-in-messages-missing-in</a><br>

<br>

Pamela Dingle:<br>

<br>

In section 2.1.2.1 of draft 18 of the messages specification, the c_hash and at_hash claims are defined as OPTIONAL or REQUIRED (c_hash is REQUIRED when the idtoken is issued at the same time as an authorization code, at_hash is REQUIRED when the idtoken is issued at the same time as an access token).<br>


<br>

I read the above as stating that one of the two claims is required in every idtoken that uses either the code or token flow.<br>

<br>

In section 2.2 of draft 26 of the basic profile, however, the claims at_hash and c_hash are not even mentioned.<br>

<br>

Either c_hash and at_hash claims need to be added to the basic profile, or the messages definitions for c_hash and at_hash need to be fixed.<br>

<br>

<br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>====================<br>Ryo Ito<br>Email : <a href="mailto:ritou.06@gmail.com">ritou.06@gmail.com</a><br>====================

</div>