<div dir="ltr"><div><div><div>Dear Thomas,<br><br></div>Thank you for your clarification. I'll make WWW-Authenticate value start with "Bearer".<br><br></div>Best Regards,<br></div>Takahiko Kawasaki<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-07 20:01 GMT+09:00 Thomas Broyer <span dir="ltr"><<a href="mailto:t.broyer@gmail.com" target="_blank">t.broyer@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><br><div class="gmail_quote"><span class=""><div dir="ltr">On Sun, Feb 7, 2016 at 6:54 AM Takahiko Kawasaki <<a href="mailto:daru.tk@gmail.com" target="_blank">daru.tk@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<br><br>I have a question about the non-normative example of a UserInfo Error Response in "OpenID Connect Core 1.0, 5.3.3. UserInfo Error Response".<br><br>The following is the example in the section.<br><br>    HTTP/1.1 401 Unauthorized<br>    WWW-Authenticate: error="invalid_token",<br>      error_description="The Access Token expired"<br><br>However, it seems to me that the value of WWW-Authenticate header should start with "Bearer " like the following.<br><br>    HTTP/1.1 401 Unauthorized<br>    WWW-Authenticate: Bearer error="invalid_token",<br>      error_description="The Access Token expired"<br><br>The reason I think so is that "RFC 6750, 3. The WWW-Authenticate Response Header Field" says as follows.<br><br>    All challenges defined by this specification<br>    MUST use the auth-scheme value "Bearer".<br></div></blockquote><div><br></div></span><div>Not only that but “RFC 7235, 4.1 WWW-Authenticate” [1] mandates it.</div><div><br></div><div>[1] <a href="https://tools.ietf.org/html/rfc7235#section-4.1" target="_blank">https://tools.ietf.org/html/rfc7235#section-4.1</a></div><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Is it okay to start the value of WWW-Authenticate header with "Bearer " in my implementation?</div></blockquote><div><br></div></span><div>You actually MUST use "Bearer", the example is wrong. </div></div></div>
</blockquote></div><br></div>