<font size=2 face="sans-serif">Makes sense - thanks.</font>
<br>
<table width=223 style="border-collapse:collapse;">
<tr height=8>
<td width=223 bgcolor=white style="border-style:solid;border-color:#000000;border-width:0px 0px 0px 0px;padding:0px 0px;"><font size=1 face="Verdana"><b><br>
<br>
<br>
Todd Lainhart<br>
Rational software<br>
IBM Corporation<br>
550 King Street, Littleton, MA 01460-1250</b></font><font size=1 face="Arial"><b><br>
1-978-899-4705<br>
2-276-4705 (T/L)<br>
lainhart@us.ibm.com</b></font></table>
<br>
<br>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">George Fletcher <gffletch@aol.com></font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">Todd W Lainhart/Lexington/IBM@IBMUS,
openid-specs-ab@lists.openid.net, </font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">03/03/2014 02:24 PM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [Openid-specs-ab]
Question re core "prompt=login"</font>
<br>
<hr noshade>
<br>
<br>
<br><font size=3 face="Arial">Two things...<br>
<br>
1. Relying parties must assume that the returned user could be different
than the "current" user and deal with the scenario (i.e. late-time
binding). There were some exploits with OpenID2 because RPs did not implement
late-time bindings.<br>
<br>
2. If a id_token_hint is specified, then a "switch-user" is NOT
allowed. This is described in the text for the id_token_hint.<br>
<br>
So, I think it would be ok to perform a "switch-user" if a specific
user is NOT identified in the request. The RPs MUST handle this case regardless.<br>
<br>
Thanks,<br>
George<br>
</font>
<br><font size=3>On 3/3/14 1:59 PM, Todd W Lainhart wrote:</font>
<br><a href="http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest"><font size=2 color=blue face="sans-serif"><u>http://openid.net/specs/openid-connect-core-1_0.html#AuthRequest</u></font></a><font size=3>
<br>
</font><font size=2 face="sans-serif"><br>
A question came up here regarding whether it is legal/expected to "switch-user"
on the OP when prompt=login is given, and change the session.  The
text says this:</font><font size=3> <br>
</font><font size=2 face="Verdana"><br>
login</font><font size=3> </font><font size=2 face="Verdana"><br>
The Authorization Server SHOULD prompt the End-User for reauthentication.
If it cannot reauthenticate the End-User, it MUST return an error, typically</font><font size=2 color=#002060 face="Courier New">login_required</font><font size=2 face="Verdana">.</font><font size=3>
<br>
<br>
</font><font size=2 face="sans-serif"><br>
Some interpret "reauthentication" as validating the logged-in
user with a request for a resubmit of their credentials - others interpret
"reauthentication" as the ability to do an "su".  
Can someone clarify the intent?</font><font size=3><br>
</font>
<table width=223 style="border-collapse:collapse;">
<tr height=8>
<td width=221 bgcolor=white style="border-style:solid;border-color:#000000;border-width:0px 0px 0px 0px;padding:1px 1px;"><font size=1 face="Verdana"><b><br>
<br>
<br>
Todd Lainhart<br>
Rational software<br>
IBM Corporation<br>
550 King Street, Littleton, MA 01460-1250</b></font><font size=1 face="Arial"><b><br>
1-978-899-4705<br>
2-276-4705 (T/L)</b></font><font size=1 color=blue face="Arial"><b><u><br>
</u></b></font><a href=mailto:lainhart@us.ibm.com><font size=1 color=blue face="Arial"><b><u>lainhart@us.ibm.com</u></b></font></a></table>
<br><font size=3><br>
<br>
</font>
<br><tt><font size=3>_______________________________________________<br>
Openid-specs-ab mailing list<br>
</font></tt><a href="mailto:Openid-specs-ab@lists.openid.net"><tt><font size=3 color=blue><u>Openid-specs-ab@lists.openid.net</u></font></tt></a><tt><font size=3><br>
</font></tt><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><tt><font size=3 color=blue><u>http://lists.openid.net/mailman/listinfo/openid-specs-ab</u></font></tt></a><tt><font size=3><br>
</font></tt>
<br>
<br><font size=3>-- </font><font size=3 color=blue><u><br>
</u></font><a href=http://connect.me/gffletch><img src=cid:_4_0FE76E080FE76A4800732B6785257C90 alt="George Fletcher"></a>
<br>