<div dir="ltr">Hi All,<div><br><div><p class="MsoNormal"><span style="font-size:12.8000001907349px">John and I introduced a new draft at IETF93 yesterday on this topic.</span></p><p class="MsoNormal"><span style="font-size:12.8000001907349px"><br></span></p><div><a href="https://tools.ietf.org/html/draft-wdenniss-oauth-native-apps-00" target="_blank">https://tools.ietf.org/html/draft-wdenniss-oauth-native-apps-00</a><br></div><div><br></div><p class="MsoNormal"><span style="font-size:12.8000001907349px">Goal is to provide best practices for native apps using the </span><span style="font-size:12.8000001907349px">RFC6749 </span><span style="font-size:12.8000001907349px">authorization endpoint, expanding on </span><span style="font-size:12.8000001907349px">RFC6749 </span><span style="font-size:12.8000001907349px">Section 9.  Specifically, it recommends using an external user-agent (such as the system browser) for this task over an embedded user-agent (such as a web-view), and suggests ways to achieve this.</span></p><p class="MsoNormal"><span style="font-size:12.8000001907349px"><br></span></p><div><p class="MsoNormal"><span style="font-size:12.8000001907349px">When implemented, improves security and delivers true SSO for native apps.</span></p></div><p class="MsoNormal"><br></p></div><div>Comments welcome. Use the <a href="https://www.ietf.org/mailman/listinfo/oauth" target="_blank">oauth wg list</a> for things that are not specific to NAPPS.</div><div><br></div><div>Best,</div><div>William</div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 16, 2015 at 5:37 AM, David Waite <span dir="ltr"><<a href="mailto:david@alkaline-solutions.com" target="_blank">david@alkaline-solutions.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">You might have multiple redirect_uris if you have sections of your website which are not represented by your app but which need authentication.<div><br></div><div>Website initiated -> website-only redirect uri (uri not claimed by the app)</div><div>App initiated -> app-only redirect uri (gives an error if you hit it with a browser)</div><div><br></div><div>For other cases (no auth functionality on site, complete overlap between website and app) you would only need a single redirect uri.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>-DW</div></font></span><span class=""><div><br><div><blockquote type="cite"><div>On Jun 15, 2015, at 5:02 PM, John Bradley <<a href="mailto:ve7jtb@ve7jtb.com" target="_blank">ve7jtb@ve7jtb.com</a>> wrote:</div><br><div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br>The callback/claimed URI is a separate feature from the browser tab.   It would be generic to the browser.  Letting apps claim links that would otherwise go to a web server.</div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">So a linked in link in a email would open the native app rather than the web page.</div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">We don’t have much info on how they would work together.</div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><br></div><div style="font-family:Helvetica;font-size:12px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:14px;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">Assuming the call to a token agent, and the call to the web site is the same then a AS could just insert a token agent by having the user install a app.</div></div></blockquote></div><br></div></span></div><br>_______________________________________________<br>
Openid-specs-native-apps mailing list<br>
<a href="mailto:Openid-specs-native-apps@lists.openid.net">Openid-specs-native-apps@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-native-apps" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-native-apps</a><br>
<br></blockquote></div><br></div>