<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, May 31, 2016 at 12:32 AM John Bradley <<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">I suppose some other hash could have been used besides S256.   It however is probably not worth the trouble to make it configurable.</div></blockquote><div><br></div><div>It's an implementation detail of the OP, so it doesn't matter whether it's "configurable" or not.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>I think it was Google that came up with the S256 requirement.</div></div></blockquote><div><br></div><div>It's not a requirement. The requirement is to use a "salted cryptographic hash".</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Work on that session management spec has largely stalled.  Google who originally proposed it, built something similar but incompatible. </div><div>I believe Microsoft is the only one to have widely implemented it.</div></div></blockquote><div><br></div><div>I found two OP implementations on GitHub (not talking about Gluu Server, which is not actually Session Management; and also excluding my own implementation): <a href="https://github.com/anvilresearch/connect/">https://github.com/anvilresearch/connect/</a> <span style="line-height:1.5">and </span><a href="https://github.com/IdentityServer/IdentityServer3/" style="line-height:1.5">https://github.com/IdentityServer/IdentityServer3/</a></div><div>Both use SHA256, with the same arguments, in the same order (slight variation is that IdentityServer3 doesn't separate them with spaces). I'm assuming everyone (including me) did the same: just do the same as the non-normative example from the spec, not trying (or failing) to understand the underlying reasons for the SHA256.</div><div>And mod_oauth_openidc supports it as an RP.</div><div>No idea if that qualifies as "widely implemented" (I suppose you mean "widely deployed" here?)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>I think they are relatively happy with it in Azure.</div></div></blockquote><div><br></div><div>Would love to hear from them!</div><div><br></div><div>Thanks for answering anyway!</div></div></div>