
<div dir="ltr"><div><i><span style="font-size:12.8px">William: I think the main point is that there needs to be a distinction between *public* and *confidential* clients, but that using the redirect URI to determine this is a bad idea.</span><br></i></div><div><span style="font-size:12.8px">> client property application_type with values "native" and "web" seems to be the connect way of distinguishing between public and confidential clients.</span></div><div><br></div>Furthermore in 8.7/7.1 > <i>For Custom URI scheme based redirects, authorization servers SHOULD enforce the requirement in Section 7.1 that clients use reverse domain name based schemes. <b>At a minimum, any scheme that doesn't contain a period character ("."), SHOULD be rejected.</b></i><div><div class="gmail_extra"><br></div><div class="gmail_extra">While waiting for native apps to finalized and thus enabled as best practice by default in node oidc-provider the developers can choose to enable it as an experimental feature, this changes the way application_type=native clients' redirect_uris member are validated, <a href="https://github.com/panva/node-oidc-provider/blob/85f1480/lib/helpers/client_schema.js#L450-L477">here's the difference</a>. Special handling was also necessary to allow a dynamic port to provided for Loopback URI Redirection.</div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">Best,<br><b>Filip Skokan</b></div></div>

<br><div class="gmail_quote">On Tue, Mar 21, 2017 at 7:00 PM, Mike Jones via Openid-specs-ab <span dir="ltr"><<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div lang="EN-US">

<div class="gmail-m_-3960370225228636866WordSection1">

<p class="MsoNormal"><span style="color:rgb(0,32,96)">Can you please file an issue at <a href="https://bitbucket.org/openid/connect/issues?status=new&status=open" target="_blank">

https://bitbucket.org/openid/<wbr>connect/issues?status=new&<wbr>status=open</a> under the Errata milestone proposing specific textual edits to apply?<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(0,32,96)">                              <wbr>                            Thanks,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(0,32,96)">                              <wbr>                            -- Mike<u></u><u></u></span></p>

<p class="MsoNormal"><a name="m_-3960370225228636866__MailEndCompose"><span style="color:rgb(0,32,96)"><u></u> <u></u></span></a></p>

<span></span>

<p class="MsoNormal"><b>From:</b> Openid-specs-ab [mailto:<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-<wbr>bounces@lists.openid.net</a>]

<b>On Behalf Of </b>William Denniss via Openid-specs-ab<br>

<b>Sent:</b> Tuesday, March 21, 2017 10:46 AM<br>

<b>To:</b> Roland Hedberg <<a href="mailto:roland@catalogix.se" target="_blank">roland@catalogix.se</a>><br>

<b>Cc:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a><br>

<b>Subject:</b> Re: [Openid-specs-ab] Native apps redirect_uri scheme<u></u><u></u></p><div><div class="gmail-h5">

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">+1 to include HTTPS support.  I think the main point is that there needs to be a distinction between *public* and *confidential* clients, but that using the redirect URI to determine this is a bad idea.<u></u><u></u></p>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Regarding localhost vs loopback IP literal:<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">The Native Apps draft recommends using loopback IP literals over localhost, as they are slightly superior.  By default, 127.0.0.1 will strictly receive local traffic only – a desirable security property. It's also immune to hostname resolution

 issues (it's possible to break localhost resolution).<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">In my testing with .NET on Windows 10, opening a HTTP listener on "<a href="http://localhost" target="_blank">http://localhost</a>" opened a socket on all network interfaces and triggered a firewall dialog – while listening on "<a href="http://127.0.0.1" target="_blank">http://127.0.0.1</a>"

 did neither.  I'm sure it's possible to configure which network interfaces to use with "localhost", but what I like about 127.0.0.1 is that you don't have to worry about that.<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Since both are simple static constants – and one is better – I recommend the IP literal.<u></u><u></u></p>

</div>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

<div>

<p class="MsoNormal">On Tue, Mar 21, 2017 at 9:59 AM, Roland Hedberg via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a>> wrote:<u></u><u></u></p>

<blockquote style="border-top:none;border-right:none;border-bottom:none;border-left:1pt solid rgb(204,204,204);padding:0in 0in 0in 6pt;margin-left:4.8pt;margin-right:0in">

<p class="MsoNormal">Hi!<br>

<br>

There is a thing we probably have to issue an errata for in the OIDC cleint registration document.<br>

<br>

This is the case:<br>

<br>

— In <a href="http://openid.net/specs/openid-connect-registration-1_0.html" target="_blank">

http://openid.net/specs/<wbr>openid-connect-registration-1_<wbr>0.html</a> it says in the text about<br>

application_type:<br>

<br>

”Native Clients MUST only register redirect_uris using custom URI schemes or URLs using the http: scheme with localhost as the hostname. "<br>

<br>

Now this conflicts with what is said in <a href="https://tools.ietf.org/id/draft-ietf-oauth-native-apps-09.html" target="_blank">

https://tools.ietf.org/id/<wbr>draft-ietf-oauth-native-apps-<wbr>09.html</a><br>

where in section 7 it lists these redirect URI options:<br>

7.1 Custom URI<br>

7.2 HTTPS<br>

7.3 loopback aka <a href="HTTP://127.0.0.1" target="_blank">HTTP://127.0.0.1</a><br>

<br>

Furthermore in 8.6 it says about the use of loopback URI:<br>

"While redirect URIs using localhost (i.e.  <a href="http://localhost:%7bport%7d/" target="_blank">

http://localhost:{port}/</a>) function similarly to loopback IP redirects described in Section 7.3, the use of localhost is NOT RECOMMENDED. "<br>

<br>

-- Roland<br>

"Education is the path from cocky ignorance to miserable uncertainty.” - Mark Twain<br>

<br>

<br>

<br>

______________________________<wbr>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.<wbr>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>ab</a><u></u><u></u></p>

</blockquote>

</div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div></div></div>

</div>


<br>______________________________<wbr>_________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.<wbr>net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>ab</a><br>

<br></blockquote></div><br></div></div></div>