<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Spec call notes 26-Jan-15<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Nat Sakimura<o:p></o:p></p>
<p class="MsoNormal">John Bradley<o:p></o:p></p>
<p class="MsoNormal">Mike Jones<o:p></o:p></p>
<p class="MsoNormal">George Fletcher<o:p></o:p></p>
<p class="MsoNormal">Edmund Jay<o:p></o:p></p>
<p class="MsoNormal">Brian Campbell<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Agenda<o:p></o:p></p>
<p class="MsoNormal">               Certification<o:p></o:p></p>
<p class="MsoNormal">               OpenID 2.0 Migration<o:p></o:p></p>
<p class="MsoNormal">               EIC<o:p></o:p></p>
<p class="MsoNormal">               OpenID Workshop on April 6<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Certification<o:p></o:p></p>
<p class="MsoNormal">               Open Certification Issues at https://bitbucket.org/openid/certification/issues<o:p></o:p></p>
<p class="MsoNormal">                              John filed #27 on using the UserInfo Endpoint with response_type=id_token<o:p></o:p></p>
<p class="MsoNormal">                              John filed #28 on requiring a signing key when alg:none is used
<o:p></o:p></p>
<p class="MsoNormal">                              People filing issues should verify that they're fixed and then resolve the issue in the tracker<o:p></o:p></p>
<p class="MsoNormal">                                             For instance, Edmund just resolved issue #3<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">               Testing features where there are optional behaviors<o:p></o:p></p>
<p class="MsoNormal">                              We test them individually and at least verify that they don't cause errors<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">               We test that the request= and request_uri= parameters don't cause errors<o:p></o:p></p>
<p class="MsoNormal">                              We need a different test for the Dynamic profile that actually uses a request_uri= parameter<o:p></o:p></p>
<p class="MsoNormal">                              We may or may not choose to include this in the first conformance round<o:p></o:p></p>
<p class="MsoNormal">                              John said that Ping has implemented Dynamic Registration<o:p></o:p></p>
<p class="MsoNormal">                                             Mike encouraged Ping to start testing this ASAP<o:p></o:p></p>
<p class="MsoNormal">               <o:p></o:p></p>
<p class="MsoNormal">               Testing OAuth behaviors<o:p></o:p></p>
<p class="MsoNormal">                              1. Can't reuse code (an OAuth MUST)<o:p></o:p></p>
<p class="MsoNormal">                                             In a cluster, may require distributed consensus, which kills performance<o:p></o:p></p>
<p class="MsoNormal">                              2. Reusing the code revokes access tokens (an OAuth SHOULD)<o:p></o:p></p>
<p class="MsoNormal">                              Mike proposed that we leave these in but make them warnings<o:p></o:p></p>
<p class="MsoNormal">                              Another possibility is having a time limit, such as 30 seconds<o:p></o:p></p>
<p class="MsoNormal">                                             We'll try to do that for now<o:p></o:p></p>
<p class="MsoNormal">                              We don't have a test for revoking refresh tokens<o:p></o:p></p>
<p class="MsoNormal">                                             John would prefer to test revoking refresh tokens than testing revoking access tokens<o:p></o:p></p>
<p class="MsoNormal">                                             Of course, we don't have any tests that require refresh tokens, which would make that hard<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">               Roland is currently having DNS issues on the Symantec machines<o:p></o:p></p>
<p class="MsoNormal">                              He's reported them to Symantec<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID 2.0 Migration<o:p></o:p></p>
<p class="MsoNormal">               Nat has applied the fixed pointed out by James<o:p></o:p></p>
<p class="MsoNormal">               Nat is going to ping Torsten<o:p></o:p></p>
<p class="MsoNormal">               After that, we should have the public review period<o:p></o:p></p>
<p class="MsoNormal">               Google is still on track to turn off OpenID 2.0 on April 20th<o:p></o:p></p>
<p class="MsoNormal">                              This effectively means that we have to start the 60 day review period by about February 11<o:p></o:p></p>
<p class="MsoNormal">                              Nat will notify the working group of this timeline<o:p></o:p></p>
<p class="MsoNormal">               Don has been working with JanRain and Gigya on OpenID Connect RP support<o:p></o:p></p>
<p class="MsoNormal">                              But that doesn't appear to be moving very quickly<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">EIC<o:p></o:p></p>
<p class="MsoNormal">               Our session proposal on Certification was accepted at
<a href="https://www.id-conf.com/sessions/1577">https://www.id-conf.com/sessions/1577</a><o:p></o:p></p>
<p class="MsoNormal">               Mike has suggested that Dominick Baier's session come first<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">OpenID Workshop on April 6<o:p></o:p></p>
<p class="MsoNormal">               https://openid-mar-2015.eventbrite.com<o:p></o:p></p>
<p class="MsoNormal">               Don produced a draft set of topics and speakers but there aren't any times in the agenda yet<o:p></o:p></p>
<p class="MsoNormal">               We have the large room all day<o:p></o:p></p>
<p class="MsoNormal">               Mike believes that if all the working groups and topics are to be covered, we'll have to start before lunch<o:p></o:p></p>
<p class="MsoNormal">               George will ask the speakers how much time they think they'll need and how they want to use the time<o:p></o:p></p>
</div>
</body>
</html>