<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 11, 2017 at 11:02 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank" class="cremed">Michael.Jones@microsoft.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="m_-1388954170838736283WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060">This is useful, Marius.  What are the arguments for each of these events?</span></p></div></div></blockquote><div><br></div><div>I hope we are going to collectively come up with arguments and reasons.</div><div><br></div><div>Here are Google's arguments for working on these particular events:</div><div>- sessions-revoked - allows RPs to keep sessions in sync with IdP, keep user sessions secure in general </div><div>- tokens-revoked - RPs eventually can discover through usage that tokens it holds for a user stopped working, this event provides a timely and explicit signal, it tells the RP that the user explicitly terminated the relationship, what the RP does with it depends, most likely RP wants to terminate sessions, maybe drop data stored for that user</div><div>- account-deleted - the RP lost an IdP for that user, if it was the only IdP then the RP is in a tricky situations since the user has no other way to access the account, maybe if the RP still has an active session that can be used to prompt the user to configure an alternative way to login to RP</div><div><br></div><div>- account-locked, -recovered, -reverification-requested are mostly targeted as signals for abuse systems, but they have obvious session implications as well</div><div><br></div><div>- account-identifier-changed - some RPs use the email address as main key (even when stable identifier i also provided), this allows them to update that key (otherwise manual intervention is needed on RP side)</div><div><br></div><div>Also, all these signals might be used as signals to an abuse system.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="EN-US" link="#0563C1" vlink="#954F72"><div class="m_-1388954170838736283WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#002060"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Openid-specs-risc [mailto:<a href="mailto:openid-specs-risc-bounces@lists.openid.net" target="_blank" class="cremed">openid-specs-risc-<wbr>bounces@lists.openid.net</a>]
<b>On Behalf Of </b>Marius Scurtescu<br>
<b>Sent:</b> Tuesday, April 11, 2017 10:50 AM<br>
<b>To:</b> <a href="mailto:openid-specs-risc@lists.openid.net" target="_blank" class="cremed">openid-specs-risc@lists.<wbr>openid.net</a><br>
<b>Subject:</b> [Openid-specs-risc] RISC events supported by Google<u></u><u></u></span></p><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">Right now Google supports the following events:<br>
- sessions-revoked - it states the Google closed all existing sessions for given subject<br>
- tokens-revoked - it states that Google revoked all tokens for given user and recipient (client), no individual token strings provided, applies only to tokens explicitly revoked by the user<br>
<br>
In the near future Google is planning to support:<br>
- account-deleted - the account was deleted, an RP should find an alternative way to authenticate the user, while they still have an active session (if Google was only IdP and no other recovery email then account is practically lost)<br>
- account-locked - account locked because of possibility of hijacking<br>
- account-recovered - user recovered previously locked account<br>
- account-reverification-<wbr>requested - account not locked, but all sessions closed and user will be asked to change password on next login<br>
<br>
Potentially in the mid future:<br>
- account-identifier-changed - email address changes<br>
- other token revocation events (revoked by client through API, revoked by Google for various reasons)<br>
- log out events<br>
<br>
Thoughts?<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Which of these events do you think you would use and how?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">What other events would you like to receive from Google (and RISC in general)?<br>
<br>
Thanks,<br>
Marius<u></u><u></u></p>
</div>
</div>
</div></div></div>
</div>

</blockquote></div><br></div></div>