<div dir="ltr"><div dir="ltr">Hi Joseph,<div><br></div><div>Yes, she raised the issue. Since I worked on OIDC compliance I initiated this mail thread.</div><div>It would be okay to keep the discussion on the issue.</div><div><br></div><div>Thanks,</div><div>Hasini</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 22, 2019 at 4:32 PM Joseph Heenan <<a href="mailto:joseph.heenan@oidf.org">joseph.heenan@oidf.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div style="overflow-wrap: break-word;">

Hi Hasini,

<div><br>

</div>

<div>We had what sounds like the same issue raised here this morning:</div>

<div><br>

</div>

<div><a href="https://gitlab.com/openid/conformance-suite/issues/567" target="_blank">https://gitlab.com/openid/conformance-suite/issues/567</a></div>

<div><br>

</div>

<div>Are you linked with Sachini Siriwardene somehow?</div>

<div><br>

</div>

<div>It would probably be good if we can keep all the discussion on the issue please.</div>

<div><br>

</div>

<div>Thanks</div>

<div><br>

</div>

<div>Joseph</div>

<div><br>

<div><br>

<blockquote type="cite">

<div>On 22 Jul 2019, at 10:43, Hasini Witharana <<a href="mailto:hasinidilanka@gmail.com" target="_blank">hasinidilanka@gmail.com</a>> wrote:</div>

<br class="gmail-m_-3157215700363744683Apple-interchange-newline">

<div>

<div dir="ltr">Hi All,

<div><br>

</div>

<div>

<div>The spec[1] has the below content.</div>

<span class="gmail-m_-3157215700363744683gmail-im" style="color:rgb(80,0,80)">

<div><br>

</div>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Unless the Redirection URI is invalid, the Authorization Server returns the Client to the Redirection URI specified in the Authorization Request with the appropriate error and state parameters. Other parameters SHOULD NOT be returned.</blockquote>

<div><span style="font-family:verdana,charcoal,helvetica,arial,sans-serif"><br>

</span></div>

</span>

<div>

<div>Here they have mentioned "SHOULD NOT" which means according to [2]</div>

<div><br>

</div>

<div>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

SHOULD NOT - This phrase, or the phrase "NOT RECOMMENDED" mean that<br>

   there may exist valid reasons in particular circumstances when the<br>

   particular behavior is acceptable or even useful, but the full<br>

   implications should be understood and the case carefully weighed<br>

   before implementing any behavior described with this label.</blockquote>

<div><br>

</div>

<div>Will it be a spec violation if we return more attributes in the error message? Moreover, we got OIDC spec compliancy, and when we were running the test suite there were no test failures for this matter even though we return some additional claims

 in the error response.</div>

<div><br>

</div>

<div>We have developed oidc session management as well and we are returning the session_state in the error response as recommended in the spec[3]. </div>

<div><br>

</div>

<div>If it is not recommended to send more attributes in the error response what is the recommended way to handle the session_state parameter in an error response?</div>

<div><br>

</div>

<div>Thank You.</div>

<div>Hasini</div>

<br class="gmail-m_-3157215700363744683gmail-Apple-interchange-newline">

</div>

</div>

<div>[1] - <a href="https://openid.net/specs/openid-connect-core-1_0.html#rfc.section.3.1.2.6" target="_blank">

https://openid.net/specs/openid-connect-core-1_0.html#rfc.section.3.1.2.6</a><br>

[2] - <a href="https://tools.ietf.org/html/rfc2119" target="_blank">https://tools.ietf.org/html/rfc2119</a><br>

</div>

<div>[3] - <a href="https://openid.net/specs/openid-connect-session-1_0.html" target="_blank">https://openid.net/specs/openid-connect-session-1_0.html</a></div>

-- <br>

<div dir="ltr" class="gmail-m_-3157215700363744683gmail_signature">

<div dir="ltr">

<div style="font-size:12.8px"><b style="background-color:rgb(243,243,243)"><font face="arial, helvetica, sans-serif" color="#0b5394">Hasini Witharana</font></b></div>

<div style="font-size:12.8px">

<div style="color:rgb(136,136,136);font-size:12.8px"><span style="font-family:"times new roman",serif">Graduate | Department of Computer Science and Engineering<br>

</span></div>

<span style="color:rgb(136,136,136);font-size:12.8px;font-family:"times new roman",serif">University of Moratuwa</span><br>

</div>

<div style="font-size:12.8px"><span style="color:rgb(136,136,136);font-size:12.8px;font-family:"times new roman",serif"><a href="https://www.linkedin.com/in/hasini-witharana-185785109/" target="_blank">Linkedin</a><br>

</span></div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<br>

</div>

</div>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div style="font-size:12.8px"><b style="background-color:rgb(243,243,243)"><font face="arial, helvetica, sans-serif" color="#0b5394">Hasini Witharana</font></b></div><div style="font-size:12.8px"><div style="color:rgb(136,136,136);font-size:12.8px"><span style="font-family:"times new roman",serif">Graduate | Department of Computer Science and Engineering<br></span></div><span style="color:rgb(136,136,136);font-size:12.8px;font-family:"times new roman",serif">University of Moratuwa</span><br></div><div style="font-size:12.8px"><span style="color:rgb(136,136,136);font-size:12.8px;font-family:"times new roman",serif"><a href="https://www.linkedin.com/in/hasini-witharana-185785109/" target="_blank">Linkedin</a><br></span></div></div></div></div>