
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:Helvetica;


        panose-1:2 11 6 4 2 2 2 2 2 4;}


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.apple-converted-space


        {mso-style-name:apple-converted-space;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#002060;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060">This test change doesn’t affect the required nonce behavior you’re describing, John.  For all response types, the tests still verify that when a nonce is sent,


 it’s returned.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060">The test change made is to no longer require that OPs using response_type=code+token accept requests without a nonce (which was a violation of the spec).  OPs


 using response_type=code are still required to accept requests without a nonce, and this is still tested for.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060">                                                                -- Mike<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> John Bradley [mailto:ve7jtb@ve7jtb.com]


<br>


<b>Sent:</b> Tuesday, April 14, 2015 9:56 AM<br>


<b>To:</b> Mike Jones<br>


<b>Cc:</b> openid-specs-ab@lists.openid.net; Eve Maler<br>


<b>Subject:</b> Re: [Openid-specs-ab] Minor test change to match the spec<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal">The server always needs to honour any request from a client with nonce in it.  It is optional for the client to send nonce with the “code” response type.<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">The WG only decided to relax the requirement for nonce in code,  That doesn’t mean that sending and validating it is not a useful security precaution.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">We backed off on nonce for code to make the basic profile simpler.<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">John B.<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<div>


<p class="MsoNormal">On Apr 13, 2015, at 3:04 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com">Michael.Jones@microsoft.com</a>> wrote:<o:p></o:p></p>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Garyl Erickson of ForgeRock identified a place where the tests didn’t match the spec and Roland just adjusted the tests as a result.  I wanted to document this change and the


 reason for it for the working group.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">OP-nonce-NoReq-code is about supporting requests without a nonce.  The nonce is only needed when the ID Token is returned as a fragment.  The code+token flow doesn't return


 the nonce as a fragment.  Therefore, it should be legal to make a request with no nonce for code+token.  So the test tool had included the test OP-nonce-NoReq-code for both the code and code+token response types.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">But the spec says that a nonce is required for Hybrid flows:<span class="apple-converted-space"> </span><a href="http://openid.net/specs/openid-connect-core-1_0.html#HybridIDToken"><span style="color:purple">http://openid.net/specs/openid-connect-core-1_0.html#HybridIDToken</span></a><span class="apple-converted-space"> </span>3.3.2.11


 ID Token "Use of the nonce Claim is REQUIRED for this flow."  Therefore Roland just removed the OP-nonce-NoReq-code test from code+token, because it's testing for behavior that violates the spec.  In this case while common sense may indicate that you don't


 have to send a nonce for code+token, the spec says that you do.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">In a related test, the OP-nonce-NoReq-noncode is about testing that implementations reject requests without a nonce.  Roland and I *<b>did not</b>* add this test for the code+token


 flow because doing so would break existing implementations that have already passed certification with this functionality, which matches common sense, but not the spec. ;-)  We *<b>did</b>* add this test for the code+id_token and code+id_token+token flows


 because the nonce really is required for security reasons in these cases.  That being said, per the rules of the test freeze, we will honor any Hybrid certifications that have already occurred without these tests having been presented by the test tool.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">When errata time next comes around, we should think about whether to relax the requirement to include a nonce in the request for the code+token flow.  But for now, I think


 it’s right for our certification tests to allow either the logical or the specified behavior in this one case.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">                                                            Cheers,<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">                                                            -- Mike<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> <o:p></o:p></span></p>


</div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif">_______________________________________________<br>


Openid-specs-ab mailing list<br>


</span><a href="mailto:Openid-specs-ab@lists.openid.net"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif;color:purple">Openid-specs-ab@lists.openid.net</span></a><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif"><br>


</span><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><span style="font-size:9.0pt;font-family:"Helvetica",sans-serif;color:purple">http://lists.openid.net/mailman/listinfo/openid-specs-ab</span></a><o:p></o:p></p>


</div>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</div>


</body>


</html>