
<div dir="ltr"><div>To be very honest as a developer, I find it quite confusing to read 1 concise spec and than trying to diff between the profile of the spec and the original spec.<br> It makes lot easier to know exactly what has changed in the profile of the spec vs the original spec and implement only the piece that has changed.<br><br></div>-Vivek<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jul 29, 2015 at 10:54 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Actually, implementers don’t have to read two specs.  They only have to read the Connect registration spec.  It’s complete.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Justin Richer [mailto:<a href="mailto:jricher@mit.edu" target="_blank">jricher@mit.edu</a>]

<br>

<b>Sent:</b> Wednesday, July 29, 2015 10:46 AM<br>

<b>To:</b> William Denniss</span></p><div><div class="h5"><br>

<b>Cc:</b> Mike Jones; <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a> Ab<br>

<b>Subject:</b> Re: [Openid-specs-ab] I'm planning to start applying errata edits to OpenID Connect<u></u><u></u></div></div><p></p>

</div>

</div><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">+1 to this — the Core spec doesn’t redefine how to do OAuth, but includes it by reference and example. We can do the same here.<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal"> — Justin<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">On Jul 29, 2015, at 1:44 PM, William Denniss <<a href="mailto:wdenniss@google.com" target="_blank">wdenniss@google.com</a>> wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<div>

<p class="MsoNormal">If there is duplication, implementors will need to read two specs, and manually diff them.  Personally I dislike doing that, and prefer 1 clear authoritative reference.<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Given we have clear definition of the layers, in that Connect runs on OAuth, I think it makes sense for the specs to be structured in that way too.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">For example, I think that the Connect Core doc would be a lot more confusing if it subsumed the entire OAuth spec.  It's better to say "you already know (and might have implemented) OAuth, here are the extra bits you need for Connect".<u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">On Wed, Jul 29, 2015 at 10:38 AM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I actually disagree that this makes things easier for implementers.  Right now OpenID registration

 is self-contained.  People implementing it only need to refer to one spec.  If we remove the duplication, people will have to keep going back and forth between two specs.  Developers hate that.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                            -- Mike</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> William Denniss [mailto:<a href="mailto:wdenniss@google.com" target="_blank">wdenniss@google.com</a>]

<br>

<b>Sent:</b> Wednesday, July 29, 2015 10:35 AM<br>

<b>To:</b> Justin Richer<br>

<b>Cc:</b> Mike Jones; <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">

openid-specs-ab@lists.openid.net</a> Ab</span><u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><br>

<b>Subject:</b> Re: [Openid-specs-ab] I'm planning to start applying errata edits to OpenID Connect<u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<p class="MsoNormal">+1<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<div>

<div>

<p class="MsoNormal">A revision that removes the duplication would help implementers. It's good to cleanly separate the OAuth and Connect layers, now that we can.<u></u><u></u></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<div>

<div>

<p class="MsoNormal">On Wed, Jul 29, 2015 at 10:10 AM, Justin Richer <<a href="mailto:jricher@mit.edu" target="_blank">jricher@mit.edu</a>> wrote:<u></u><u></u></p>

</div>

</div>

<div>

<div>

<div>

<p class="MsoNormal">I can understand the rationale of not doing this during an errata action, but now that the IETF specs are available, what would it take for the WG to actually update the documents

 as Torsten suggests? The OIDC registration draft could really be quite minimal and import RFC7592 and RFC7592 directly for most of its normative content. The OIDC draft only adds a few fields to the client model and values to some fields (like response_type

 and token_endpoint_auth_method), but overall it isn’t any different.<u></u><u></u></p>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal">I think it’s very unfortunate that the OAuth WG sat on this work for so long, otherwise we could have had it set up this way from the beginning. <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"> — Justin<u></u><u></u></p>

</div>

</div>

</div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<div>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<div>

<div>

<p class="MsoNormal">On Jul 29, 2015, at 12:37 PM, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<u></u><u></u></p>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">We’re not going to do major changes as part of an errata action, so we’re not going to remove the

 now-duplicated content.  That said, we will add a statement that the OpenID Registration spec is compatible with the OAuth Registration spec and that implementations are free to use features defined there such as software statements as appropriate.  Would

 that work for you?</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">                                                            -- Mike</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"> </span><u></u><u></u></p>

<div>

<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">

<a href="mailto:torsten@lodderstedt.net" target="_blank">torsten@lodderstedt.net</a> [<a href="mailto:torsten@lodderstedt.net" target="_blank">mailto:torsten@lodderstedt.net</a>]

</span><u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><b>Sent:</b> Wednesday, July 29, 2015 5:05 AM<br>

<b>To:</b> Mike Jones<br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] I'm planning to start applying errata edits to OpenID Connect<u></u><u></u></p>

</div>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt">Hi Mike,</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt">good to hear.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt">Regarding Dynamic Client Registration: Will you modify the OpenID Connect Spec to be based on RFC 7591? I'm asking because the OIDC Client Registration

 could be strip down (e.g. by removing the definition of registration request/response). Moreover, this would allow the OIDC version to leverage software statements, which are required for the MODRNA work.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt">best regards,<br>

Torsten.</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt">Am 24.07.2015 20:14, schrieb Mike Jones:</span><u></u><u></u></p>

<blockquote style="border:none;border-left:solid #1010ff 1.5pt;padding:0in 0in 0in 4.0pt;margin-left:3.75pt;margin-top:5.0pt;margin-bottom:5.0pt">

<div>

<p class="MsoNormal">I wanted to let you know that I plan to start applying errata edits to the OpenID Connect specifications.  These edits will include:<u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">       

</span><span style="font-size:10.0pt">Referencing the JOSE, JWT, OAuth Assertions, and acct URI RFCs instead of working group drafts</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">       

</span><span style="font-size:10.0pt">Registering the Connect-specific Dynamic Registration metadata values in the registry established by RFC 7591</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">       

</span><span style="font-size:10.0pt">Removing the warning about the Google “iss” value currently in Section 15.6.2</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:Symbol">·</span><span style="font-size:7.0pt">       

</span><span style="font-size:10.0pt">Addressing typos described in the issue tracker</span><u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">If you know of other issues that we need to address as errata, please add them to the issue tracker at

<a href="https://na01.safelinks.protection.outlook.com/?url=https%3a%2f%2fbitbucket.org%2fopenid%2fconnect%2fissues%3fstatus%3dnew%26status%3dopen&data=01%7c01%7cMichael.Jones%40microsoft.com%7c31bcba812779461de4dc08d2980df30d%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=HXg%2bwHa8bJiF7SLAJUyFK0Lwp6SBXdWE27KLYYiXmHM%3d" target="_blank">

https://bitbucket.org/openid/connect/issues?status=new&status=open</a> using the milestone “Errata”.<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">Note that I’ll first publish the updated drafts to

<a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2fopenid.bitbucket.org%2f&data=01%7c01%7cMichael.Jones%40microsoft.com%7c31bcba812779461de4dc08d2980df30d%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=vcv4rTg9svF8fZYynqgEF7oV3N%2bEt2oVn0Tu%2bcrkJa8%3d" target="_blank">

http://openid.bitbucket.org/</a> for review.  Also, I think we should wait until <a href="https://na01.safelinks.protection.outlook.com/?url=https%3a%2f%2ftools.ietf.org%2fhtml%2fdraft-ietf-jose-jwk-thumbprint-08&data=01%7c01%7cMichael.Jones%40microsoft.com%7c31bcba812779461de4dc08d2980df30d%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=Abm%2brWGKRUjm0nf0zVUsAIdo%2b47JvLs54T2WDVPat%2fY%3d" target="_blank">

draft-ietf-jose-jwk-thumbprint</a> exits the RFC Editor queue and becomes an RFC before we call this second errata round done.<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

<p class="MsoNormal">                                                            -- Mike<u></u><u></u></p>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><u></u><u></u></p>

<pre>_______________________________________________<u></u><u></u></pre>

<pre>Openid-specs-ab mailing list<u></u><u></u></pre>

<pre><a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></pre>

<pre><a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2flists.openid.net%2fmailman%2flistinfo%2fopenid-specs-ab&data=01%7c01%7cMichael.Jones%40microsoft.com%7c31bcba812779461de4dc08d2980df30d%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=TCG5eGRf7Z73v3O1CdCcVLBp6kXmee66VK2fV9iAD8w%3d" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></pre>

</blockquote>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><u></u><u></u></p>

<div>

<p class="MsoNormal"><span style="font-size:10.0pt"> </span><u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

<div>

<div>

<p class="MsoNormal">_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><u></u><u></u></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2flists.openid.net%2fmailman%2flistinfo%2fopenid-specs-ab&data=01%7c01%7cMichael.Jones%40microsoft.com%7cc0ed08410e1a4039ce0d08d2983c233c%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=IaRnzhdrFCvaWRyxa5YE9YR%2bVvGmC8%2btLpNs%2fEVzC%2f8%3d" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</div>

</blockquote>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="https://na01.safelinks.protection.outlook.com/?url=http%3a%2f%2flists.openid.net%2fmailman%2flistinfo%2fopenid-specs-ab&data=01%7c01%7cMichael.Jones%40microsoft.com%7cc0ed08410e1a4039ce0d08d2983c233c%7c72f988bf86f141af91ab2d7cd011db47%7c1&sdata=IaRnzhdrFCvaWRyxa5YE9YR%2bVvGmC8%2btLpNs%2fEVzC%2f8%3d" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><u></u><u></u></p>

</div>

<p class="MsoNormal"> <u></u><u></u></p>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>

</blockquote>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div></div></div>

</div>


<br>_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

<br></blockquote></div><br></div>