<div dir="auto">Are you saying that the ukob spec addresses the communication between a sp and the sp software running on the users phone?<div dir="auto"><br></div><div dir="auto">That is the topic of a code of conduct currently under development in us health care. It would be good to compare notes.</div><div dir="auto"><br></div><div dir="auto">Since this is regarded as internal messaging I am not sure it is an appropriate subject for standardization. Best practice perhaps.<br><br><div data-smartmail="gmail_signature" dir="auto">thx ..Tom (mobile)</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 22, 2019, 10:33 AM Joseph Heenan via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If this were under FAPI part 2 the native app would need to obtain [at a minimum] the signed request object from the backend, and I believe PKCE then doesn’t add a huge amount (except allowing the server to perform the checks rather than relying on the client).<br>
<br>
There might be an argument that the native app should never possess the code verifier and should instead ask the backend to create a code_challenge for it? I’m not sure it makes a massive difference to the security model though.<br>
<br>
A spec seems like a good idea to me.<br>
<br>
Joseph<br>
<br>
> On 22 Jul 2019, at 17:38, Nat Sakimura via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">openid-specs-ab@lists.openid.net</a>> wrote:<br>
> <br>
> So do you think it is a good idea to codify it in a short spec?<br>
> I have seen too many of bad patterns lately :-(<br>
> <br>
> On Mon, Jul 22, 2019 at 10:10 AM Torsten Lodderstedt<br>
> <<a href="mailto:torsten@lodderstedt.net" target="_blank" rel="noreferrer">torsten@lodderstedt.net</a>> wrote:<br>
>> <br>
>> <br>
>> <br>
>>> On 20. Jul 2019, at 21:03, Nat Sakimura via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">openid-specs-ab@lists.openid.net</a>> wrote:<br>
>>> <br>
>>> An app sending a PKCE request and getting back the code that is being sent to the server with the code verifier that are used by the server component to obtain ID Token feels a bit better.<br>
>> <br>
>> I agree.<br>
>> <br>
> <br>
> <br>
> -- <br>
> Nat Sakimura (=nat)<br>
> Chairman, OpenID Foundation<br>
> <a href="http://nat.sakimura.org/" rel="noreferrer noreferrer" target="_blank">http://nat.sakimura.org/</a><br>
> @_nat_en<br>
> _______________________________________________<br>
> Openid-specs-ab mailing list<br>
> <a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ab@lists.openid.net</a><br>
> <a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>