<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">You just need to validate the URI being added as a redirect_uri is covered by by the uri in the JSON file.   I would not expect that file to be consulted for changes between registrations.<div><br></div><div>If a URI is removed from the file and a client performs a registration update action and no longer has one of it's registered redirect_uri in the file that is currently unspecified.  </div><div><br></div><div>I suppose the AS could just remove the redirect_uri or throw a error similar to trying to add a redirect_uri that is not covered.</div><div><br></div><div>Given that we don't currently have a way to update client registrations this would be outside the spec.</div><div><br></div><div>The file allows a client to maintain PPID across client_id changes or multiple clients, checking it should only happen in registration that is why it is not in the core spec.</div><div><br></div><div><br></div><div> <br><div><div>On Oct 29, 2013, at 9:59 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div class="WordSection1" style="page: WordSection1;"><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">In his review of Registration, George wrote the following about<span class="Apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-registration-1_0-20.html#SectorIdentifierValidation" style="color: purple; text-decoration: underline;">http://openid.net/specs/openid-connect-registration-1_0-20.html#SectorIdentifierValidation</a>:<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">It seems like there is some pretty complicated OP logic required to process the sector_identifier_uri.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">Given that the the list of allowed redirect_uris in the JSON file can change at any time! the OP would<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">need to pull the file and verify that the current client redirect_uri is still present in the list. That is too much<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">over head to do at token issuance. Should we have some guidance that redirect_uris can be added to the<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">sector_identifier_uri file but SHOULD NOT be removed. Removing a redirect_uri from the file results in<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">undefined behavior? With this guidance the OP can do all the necessary checking at client registration<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt 0.5in; font-size: 11pt; font-family: Calibri, sans-serif;"><span style="font-family: Helvetica, sans-serif;">time which seems reasonable.</span><span style="font-size: 12pt;"><o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">It’s always been my assumption that the sector_identifier_uri is validated once at registration time and never fetched again.  If people agree, I think we should say that.<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;">                                                                -- Mike<o:p></o:p></div><div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;"><o:p> </o:p></div></div>_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net" style="color: purple; text-decoration: underline;">Openid-specs-ab@lists.openid.net</a><br><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" style="color: purple; text-decoration: underline;">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a></div></blockquote></div><br></div></body></html>