<div dir="ltr">Dear FAPI WG members: <div><br></div><div>It is one of the rare occasions that we have to take a vote to come to a decision. </div><div><br></div><div>Here is the summary of the discussion on July 3.  </div><div><ul class="gmail-simple" style="margin:12px 0px 0px;padding:0px 0px 0px 40px;color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"><li style="margin:0px">Issue: <a href="https://bitbucket.org/openid/fapi/issues/694/refresh-token-clause-readability">https://bitbucket.org/openid/fapi/issues/694/refresh-token-clause-readability</a></li><li style="margin:0px">Extensive discussion on whether to allow refresh token rotation and under what circumstances.</li><li style="margin:0px">Lukasz presented 6 options, with the debate focusing on options 1 (forbid rotation) vs 5/6 (allow occasional rotation).</li><li style="margin:0px">Concerns were raised about interoperability and existing implementations.</li><li style="margin:0px">No consensus was reached. The chair proposed to send out a vote on the mailing list for options 1 and 5.</li></ul><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><b><u>Option 1: </u></b></span></font><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">Ban refresh token cycling in FAPI2 SP</span></div><ol style="margin:4px 0px 0px;padding:0px 0px 0px 40px;color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"><ul style="margin:4px 0px 0px;padding:0px 0px 0px 40px"><li style="overflow-wrap: break-word;">Description: Keep shall not use refresh token cycling in the AS requirements and that’s it.. The spec does not give an option to use RT cycling.</li><li style="margin:0px">Pros: Interoperability.</li><li style="margin:0px">Cons: No real option to use RT rotation from time to time for operational reasons and comply with the spec.</li><li style="margin:0px">Issues and concerns: It is not allowed for the target ecosystem to overwrite it in its specification</li></ul></ol><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><b><u>Option 5: </u></b></span></font><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">ban RT rotation, but allow occasional use in</span><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"> </span><strong style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">extraordinary</strong><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"> </span><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">cases and set precise additional rules regarding the old RT invalidation</span></div><ul style="margin:4px 0px 0px;padding:0px 0px 0px 40px;color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px"><li style="overflow-wrap: break-word;">Description: See <a href="https://bitbucket.org/openid/fapi/pull-requests/505" rel="nofollow" style="text-decoration-line:none">PR505</a> as a baseline + specify that AS must keep the old RT until the client uses the new RT for the first time. If the new RT is used the AS shall invalidate the old RT.</li><li style="margin:0px">Pros: RT is not used on regular basis. If it is used occasionally the ecosystem is interoperable as it is covered by the conformance tests. Even if implementation violates the spec and uses it on regular basis it is interoperable.</li><li style="margin:0px">Cons: ? Are there any?</li><li style="margin:0px">Issues and concerns: Additional implementation on AS side.</li></ul><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><span style="color:rgb(23,43,77);font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">See </span><a href="https://bitbucket.org/openid/fapi/pull-requests/505" rel="nofollow" style="text-decoration-line:none;font-family:-apple-system,"system-ui","Segoe UI",Roboto,Oxygen,Ubuntu,"Fira Sans","Droid Sans","Helvetica Neue",sans-serif;font-size:14px">PR505</a>: <a href="https://bitbucket.org/openid/fapi/pull-requests/505">https://bitbucket.org/openid/fapi/pull-requests/505</a><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><br></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px">While I have indicated that I will do the vote over email, after consulting the process document, it does not seem actionable. Therefore, I am calling the voting during the meeting. Per the OpenID Process, it will be a simple majority vote. </span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px">The Vote will take place at the FAPI WG Meeting on July 17, considering the notice period. You are entitled to nominate a proxy if you have to. In that case, please notify the chairs of the nomination in writing. </span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px">Best regards, </span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px">Nat Sakimura</span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px">FAPI WG Co-chair</span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div><div><font color="#172b4d" face="-apple-system, system-ui, Segoe UI, Roboto, Oxygen, Ubuntu, Fira Sans, Droid Sans, Helvetica Neue, sans-serif"><span style="font-size:14px"><br></span></font></div></div>