<div dir="ltr"><div><div><div>In our IDP role, we’re coming under a lot of pressure to say something about “session strength” and maybe in some circumstances force re-auth and so on.  There are a lot of different vocabularies in play that you could use to talk about this stuff, including NIST and ISO publications; and the work of the Fido alliance is maybe interesting.  So I expect a lot of churn in this space, and OIDC needs to allow sufficient elbow room.<br>
<br></div>So, the purpose of this note is to confirm my understandings, based on looking at the OIDC Messages draft.  Do people agree with these?<br><br></div>- It’s perfectly OK to provide any old URI we dream up as a value for the “acr” claim.<br>
<br></div>- There may be awkwardness around multiple values; suppose I wanted to assert, for example, that the session is less than ten minutes old AND two-factor authent was used.    All I can think of is composing a URI along the lines of urn:google-auth-claims?max-age=10&two-factor=true; which is a little kludgy but I guess OK.  Awkward, though, in the case where there’s a Fido vocabulary for 2-factor-flavor and someone else’s vocabulary for session-freshness.<br>
</div>