<div dir="ltr">Hi. Sorry I missed your message completely. <div><br></div><div>This actually did not come up in the WG previously. The argument you make makes sense if there are only one level of risk for all the request that the client makes, but in the case where there are multiple risk levels such as "read" and "write" access, it will require a finer grain control than per client settings. So, there should be some additional mechanism to signal whether the request is supposed to be request object only or not. It can depend on the nature of the resource and the operation upon it, so can equally be set the AS policy as well.  We need to dig a bit deeper into this. Perhaps we can continue discussing on this thread. </div><div dir="ltr"><div><br></div><div>Nat</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Sun, Jul 24, 2016 at 7:28 PM Vladimir Dzhuvinov <<a href="mailto:vladimir@connect2id.com" target="_blank">vladimir@connect2id.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
The point of signed / signed+encrypted request objects is to provide<br>
additional security, and my understanding is that clients registered<br>
with "request_object_signing_alg" and / or "request_uris" must not be<br>
allowed by the OP to make plain OpenID authentication requests. Am I<br>
correct on this? (even though it's not stated in the OIDC specs)<br>
<br>
Cheers,<br>
<br>
Vladimir<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><p dir="ltr">Nat Sakimura</p>
<p dir="ltr">Chairman of the Board, OpenID Foundation</p>
</div>