
<div dir="ltr"><div dir="ltr"><div>Hello Mike, everyone,</div><div><br></div><div>2) is not in line with the discussion in <a href="https://bitbucket.org/openid/connect/issues/1487" target="_blank">#1487</a>, we should not be giving meaning to 5xx HTTP status codes.</div><div><br></div><div>I think 1) is fine but I do recognize 3) as a valid option to allow for transmitting deployment-specific states.</div><br clear="all"><div><div dir="ltr" data-smartmail="gmail_signature">Best,<br><b>Filip</b></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 4 May 2022 at 10:20, Mike Jones <<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div lang="EN-US">

<div>

<p class="MsoNormal">I’d like people to weigh in on whether to merge <a href="https://bitbucket.org/openid/connect/pull-requests/169/simplified-error-handling-to-use-http-400" target="_blank">

https://bitbucket.org/openid/connect/pull-requests/169/simplified-error-handling-to-use-http-400</a> as-is or whether to modify it to make it possible to once again distinguish between invalid requests and failed requests.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">If you want to be able to distinguish between these two cases, do you want to use “error” and “error_description” parameters, as suggested by Andrii, or to use 400 and 501 HTTP response codes, as the specification currently does.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">In summary, please respond indicating your preference for:<u></u><u></u></p>

<ol style="margin-top:0in" start="1" type="1">

<li style="margin-left:0in">Use HTTP 400 Bad Response for all error responses.<u></u><u></u></li><li style="margin-left:0in">Use HTTP 400 Bad Response for invalid requests and HTTP 501 Not Implemented for unsuccessful logout requests.<u></u><u></u></li><li style="margin-left:0in">Use HTTP 400 Bad Response for all error responses, but use “error” and “error_description” body parameters to distinguish between invalid and failed logout requests.<u></u><u></u></li></ol>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">                                                       Thank you,<u></u><u></u></p>

<p class="MsoNormal">                                                       -- Mike<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

</div>


</blockquote></div></div>