<div dir="ltr"><div>Hi all,</div><div><br></div><div>I was reading the OpenID Keybinding spec and found something I think will be breaking compatibility.</div><div><br></div><div>In section 1.5 it states:</div><div><br></div><div>"If the OP does not support the <code>dpop</code> scope, it MUST return an error response with the error code <code>invalid_scope</code> per [RFC6749] 5.2."</div><div><br></div><div>This contradicts the spirit of OAuth and OpenID Connect where unknown parameters in general should be ignored if not understood.</div><div><br></div><div>But for scope specifically the OpenID Connect spec 3.1.2.1 states:</div><div><br></div><div>"Scope values used that are not understood by an implementation SHOULD be ignored"</div><div><br></div><div>So an existing OP that knows nothing about the dpop scope could by default simply drop it. It sounds like this is trying to enforce behaviour on non compliant OPs that they by default wouldn't have.</div><div><br></div><div>Perhaps I missed something.</div><div><br></div><div>Regards</div><div>Jacob</div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="font-size:small"></span>Jacob Ideskog<br><div style="font-size:small"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div>CTO<br></div><div>Curity<br></div><span style="color:rgb(136,136,136)">------------------------------</span><span style="color:rgb(136,136,136)">------------------------------</span><span style="color:rgb(136,136,136)">-------</span><div>Sankt Göransgatan 66, Stockholm, Sweden<br>M: <a value="+46727255655" style="color:rgb(17,85,204)">+46 70-2233664</a><br><font style="color:rgb(17,85,204)" color="#009900"><a href="mailto:jacob@twobo.com" style="color:rgb(17,85,204)" target="_blank">j</a><a href="mailto:acob@curity.io" target="_blank">acob@curity.io</a></font></div></div><div><font style="color:rgb(17,85,204)" color="#009900"><a href="http://curity.io" target="_blank">curity.io</a></font></div><div><span style="color:rgb(136,136,136)">------------------------------</span><span style="color:rgb(136,136,136)">------------------------------</span><span style="color:rgb(136,136,136)">-------</span></div></div></div></div></div></div></div></div></div></div></div>