<div dir="ltr">Hi Roland,<div><br></div><div>it's me ;) we had this discussion together, i just put it to bitbucket before i forget about it ;)<br><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature">Best,<br><b>Filip Skokan</b></div></div>
<br><div class="gmail_quote">On Thu, May 11, 2017 at 3:07 PM, Roland Hedberg via Openid-specs-ab <span dir="ltr"><<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Panva,<br>
<br>
> 10 maj 2017 kl. 22:43 skrev panva via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.<wbr>net</a>>:<br>
><br>
> New issue 195: request and request_uri negative tests<br>
> <a href="https://bitbucket.org/openid/certification/issues/195/request-and-request_uri-negative-tests" rel="noreferrer" target="_blank">https://bitbucket.org/openid/<wbr>certification/issues/195/<wbr>request-and-request_uri-<wbr>negative-tests</a><br>
><br>
> panva:<br>
><br>
> With the growing importance of signed authentication requests I believe the OP certification suite should be enriched with the following negative tests to check the OP is conform with Section 6 of Core 1.0 for both request and request_uri cases.<br>
><br>
> **OP-request(_uri)-supersede**<br>
> **Description:** Make an authentication request with state parameter passed using OAuth 2.0 request syntax as well as part of the JWT request object. Verify the returned state parameter is the one from JWT request object.<br>
> **Info:** When both are present, use Request Object parameter values.<br>
<br>
:-) interestingly enough we had exactly this discussion at EIC this week.<br>
<br>
> Furthermore we should test the OP rejects requests where response_type and client_id is mismatched between the OAuth2.0 request syntax and Request Object. Can't think of a way to do this which ensures that this specific assertion is tested. Ideas?<br>
> **OP-request-response_type-<wbr>mismatch**<br>
> **OP-request-client_id-<wbr>mismatch**<br>
<br>
I’ll think about it.<br>
Can definitely do tests on mismatch between specific call parameters and the same parameter in the request object.<br>
<br>
> There is a number of **OP-request_uri-\*** tests which are missing in **OP-request-\***<br>
<br>
Just added those to my local repo.<br>
<br>
— Roland<br>
______________________________<wbr>_________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.<wbr>net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/<wbr>mailman/listinfo/openid-specs-<wbr>ab</a><br>
</blockquote></div><br></div></div></div>