<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class="">Hi Filip,</div><div class=""><br class=""></div>Refresh tokens in general.<div class=""><br class=""></div><div class="">Specifically some/many UK banks issue them without scope=offline_access. FAPI certification also doesn’t currently require the user info endpoint is supported, though I believe core certification requires this.</div><div class=""><br class=""></div><div class="">(I suspect the desire to issue refresh tokens is related to a desire to not have to support revoking access tokens - i.e. that short lived access tokens that can be refreshed mostly removes the need to ever revoke an access token, but I could be wrong.)</div><div class=""><br class=""></div><div class="">Joseph</div><div class=""><br class=""><div><br class=""><blockquote type="cite" class=""><div class="">On 28 Jun 2019, at 15:41, Filip Skokan <<a href="mailto:panva.ip@gmail.com" class="">panva.ip@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class="">Hi Joseph,</div><div class=""><br class=""></div><div class="">can you clarify if you're talking about refresh tokens in general or the scope offline_access + prompt consent condition of OIDC?</div><br clear="all" class=""><div class=""><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">S pozdravem,<br class=""><b class="">Filip Skokan</b></div></div><br class=""></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 28 Jun 2019 at 16:29, Joseph Heenan <<a href="mailto:joseph@authlete.com" class="">joseph@authlete.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi FAPI WG,<br class="">
<br class="">
A question has arisen about exactly how refresh tokens should be tested in the FAPI-RW conformance suite (tests for this are currently being written, a suggestion Dave Tonge originally made as many banks in the UK ecosystem are able to issue refresh tokens, and I presume in some cases not correctly...).<br class="">
<br class="">
As support of refresh tokens is entirely optional in FAPI, the question is essentially: “what should happen if the AS doesn’t issue a refresh token?”<br class="">
<br class="">
The options seem to be:<br class="">
<br class="">
1) The test is marked as passed (I’m not in favour of this option as it may well be that the tester has accidentally registered the clients without the refresh token grant)<br class="">
<br class="">
2) The test fails if the discovery document indicates the server supports refresh tokens (on the grounds that it indicates that the client has been wrongly configured and if the server supports refresh tokens they conformance suite must be able to test them - note that discovery is also optional in FAPI-RW, though I’m questioning whether this should be the case: <a href="https://bitbucket.org/openid/fapi/issues/239/fapi-part-2-should-mention-require" rel="noreferrer" target="_blank" class="">https://bitbucket.org/openid/fapi/issues/239/fapi-part-2-should-mention-require</a> - the counter argument is that potentially ASs may support refresh tokens but only for non-FAPI-RW use cases)<br class="">
<br class="">
3) Same as ‘2’ but make it a warning instead of a failure (essentially suggesting that it may be okay but certificatee should be able to give a good reason why refresh tokens aren’t issued in their server when FAPI-RW is in use)<br class="">
<br class="">
4) The test is marked as “not testable” or some similar phrase, probably resulting in a similar conversation as for ‘3’.<br class="">
<br class="">
Does anyone have any thoughts please?<br class="">
<br class="">
Thanks<br class="">
<br class="">
Joseph<br class="">
<br class="">
</blockquote></div>
</div></blockquote></div><br class=""></div></body></html>