<div dir="ltr"><div>One question. This just occurred to me when reading the proposed text on issue #915 ( <a href="https://bitbucket.org/openid/connect/issue/915/">https://bitbucket.org/openid/connect/issue/915/</a> ). </div>
<div><br></div><div>Do we want to restrict the repertoire allowed in the session_state string? </div><div>I am a bit concerned that bunch of unexpected consequences may happen when multi-bytes chars are used in it as it will be transmitted over the http param and usually is dealt with the middleware the software is using. </div>
<div>If we are sure that it would not, I am fine with it, but if we are not sure, it may be better to constrain the repertoire to ASCII etc. to be on the safe side. </div><div><br></div><div>Perhaps I should reopen issue #917 (<a href="https://bitbucket.org/openid/connect/issue/917">https://bitbucket.org/openid/connect/issue/917</a>) ? </div>
<div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br><a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div>