<div dir="ltr">Ok, I have: <a href="https://bitbucket.org/openid/connect/issues/1025/ambiguity-with-how-nonce-is-handled-on">https://bitbucket.org/openid/connect/issues/1025/ambiguity-with-how-nonce-is-handled-on</a><br><div><br></div><div>I proposed some text as well.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Apr 20, 2018 at 7:53 PM, n-sakimura <span dir="ltr"><<a href="mailto:n-sakimura@nri.co.jp" target="_blank">n-sakimura@nri.co.jp</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div>
<div id="m_-2096926091363330247compose-container" style="direction:ltr">
<span><span></span></span>
<div>
<div>
<div style="direction:ltr">Good catch. Please put it in the issue tracker. </div>
</div>
<div><br>
</div>
<div class="m_-2096926091363330247acompli_signature"><a href="https://aka.ms/o0ukef" target="_blank">Outlook for iOS</a> を入手</div>
</div>
</div>
<hr style="display:inline-block;width:98%">
<div id="m_-2096926091363330247divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Openid-specs-ab <<a href="mailto:openid-specs-ab-bounces@lists.openid.net" target="_blank">openid-specs-ab-bounces@<wbr>lists.openid.net</a>> on behalf of William Denniss via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a>><br>
<b>Sent:</b> Saturday, April 21, 2018 5:37:46 AM<br>
<b>To:</b> <a href="mailto:openid-specs-ab@lists.openid.net" target="_blank">openid-specs-ab@lists.openid.<wbr>net</a><br>
<b>Subject:</b> [Openid-specs-ab] Potential ambiguity with how nonce is handled on refresh</font>
<div> </div>
</div><div><div class="h5">
<div>
<div dir="ltr">Currently the OpenID Specification in section <a href="http://12.2" target="_blank">
12.2</a> documents how the ID Token processing differs when the ID Token is received during refresh.
<div>
<div><br>
</div>
<div>'nonce' is not listed as one of the modified behaviors, thus the reader may think it falls under the catch all "otherwise, the same rules apply as apply when issuing an ID Token at the time of the original authentication."</div>
</div>
<div><br>
</div>
<div>However, most token endpoints only return the 'nonce' in the ID Token issued in response to the authorization_code grant type (which makes sense).</div>
<div><br>
</div>
<div>The definition of nonce in Section 2 clearly associates it with the Authorization Request but it may leave some ambiguity along the lines of "do the nonce rules apply to the token response when if the authorization request had a 'nonce', with is true for
 several other ID Token claims?)</div>
<div><br>
</div>
<div>Should we explicitly document in section 12.2 that 'nonce' is not expected to be present in ID Tokens returned for the refresh_token grant type?</div>
<div><br>
</div>
<div>William</div>
</div>
</div>
</div></div></div>

</blockquote></div><br></div>