<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Oops, sorry, should have pointed to the version of the draft that's actually meant for the OAuth WG workstream:</div><div><br></div><div><a href="http://tools.ietf.org/html/draft-ietf-oauth-dyn-reg-00">http://tools.ietf.org/html/draft-ietf-oauth-dyn-reg-00</a></div><div><br></div><div>We hope to contribute as this work proceeds in the OAuth group, and I've also learned that Tom Brown has an open-source implementation here:</div><div><br></div><div><a href="https://github.com/herestomwiththeweather/cyberwire/blob/master/src/org/opensourcecurrency/hack/AddProvider.java#L197">https://github.com/herestomwiththeweather/cyberwire/blob/master/src/org/opensourcecurrency/hack/AddProvider.java#L197</a></div><div><br></div><div>(He wrote recently to the OAuth list with a question about the spec:&nbsp;<a href="http://www.ietf.org/mail-archive/web/oauth/current/msg09053.html">http://www.ietf.org/mail-archive/web/oauth/current/msg09053.html</a>)</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">        </span>Eve</div><div><br></div><div>p.s. I'm cc'ing the UMA WG here just to inform them of all this. Followups should be directed only to the appropriate list(s).</div><br><div><div>On 13 Jun 2012, at 1:52 PM, Jianhua Shao wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Hi, UMA-flavored sound quite close to our dataware.catalog design to solve similar problem in dynamic auth and registration. I am interesting to know how it would push to next stage as it expired on 26 April 2012.&nbsp;</div><div><br></div><div>Currently OAuth 2 are one way registration and authentication, which is client register on authorisation server and also auth in the same direction. Have you think about the cases that either side can start the registration, which is in additional that authorisation server wants client to register on it and give the permission to access to limited resources. We met this demand that if I heard a application is very useful by listening to my friend, I would like to actively give permission to this application to start to use it.&nbsp;</div><div><br></div><div>A concrete example is from my real experience that when I travel to China, I have use a search engine called <a href="http://Baidu.com/">Baidu.com</a>, because I am new to this search engine but I am using google as daily, so there is a app could leave the port that could move any historical search data into <a href="http://baidu.com/">baidu.com</a>, If I can actively give my permission of google search history data into that app, I would than have <a href="http://baidu.com/">baidu.com</a> to use in right way. If you think about many other cases in the life, it is actually a very common demand.&nbsp;</div><div><br></div><div>So have you think about this kind of dynamic registration/auth, and also can enable either side to start the process? Just want to know where and how to contribute to your existing work.&nbsp;</div><div><br></div><div>Jian</div><br><div><div>On 13 Jun 2012, at 19:42, Eve Maler wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Also please see the UMA-flavored use cases (there are two) and the summary of requirements provided in this input document:</div><div><br></div><div><a href="http://tools.ietf.org/html/draft-oauth-dyn-reg-v1-03">http://tools.ietf.org/html/draft-oauth-dyn-reg-v1-03</a></div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">        </span>Eve</div><br><div><div>On 12 Jun 2012, at 1:39 PM, Jianhua Shao wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><base href="x-msg://403/"><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div>Hello,</div><div><br></div><div>Dynamic client registration is very useful if client or resource or authorisation server is not permanently available.&nbsp;</div><div>A typical case is that is the resource or authorisation server is in mobile platform, the connection is not always available.&nbsp;</div><div>Another typical case is that authorisation server do not necessary to have client pre-registered on itself. At moment, industry like facebook would like developer to register a app on its app centre first, and then ask user auth to use the app.&nbsp;</div><div><br></div><div>We are researchers from Digital Economy Research Institute. We have this problem When we developing Dataware that could manage the control of access to personal data. We play around our solution base on Oauth2:&nbsp;<a href="https://github.com/jianhuashao/dataware.catalog/wiki">https://github.com/jianhuashao/dataware.catalog/wiki</a></div><div><br></div><div>We are in the list to receive your maillist, but currently need moderate to post any message. cc my colleague, Richard Mortier</div><div>Best</div><div>Jian</div><div><br></div><br><div><div>On 12 Jun 2012, at 21:08, Eran Hammer wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple"><div class="WordSection1" style="page: WordSection1; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">The only distinction I would make is between removing flexibiliy to proactively enabling future extensibility. I would stop short of perscribing encoding in order to fit uri into the Basic auth fields. But if there is a way to allow this to be less restrictive without clean interop issues, that would be nice.<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p>&nbsp;</o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">I do agree we need some actual use cases before we spend much more time on this.<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p>&nbsp;</o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); ">EH<o:p></o:p></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125); "><o:p>&nbsp;</o:p></span></div><div style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-width: initial; border-color: initial; border-left-style: solid; border-left-color: blue; border-left-width: 1.5pt; padding-top: 0in; padding-right: 0in; padding-bottom: 0in; padding-left: 4pt; "><div><div style="border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; border-top-style: solid; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding-top: 3pt; padding-right: 0in; padding-bottom: 0in; padding-left: 0in; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; ">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif; "><span class="Apple-converted-space">&nbsp;</span>William Mills [mailto:wmills@yahoo-inc.com]<span class="Apple-converted-space">&nbsp;</span><br><b>Sent:</b><span class="Apple-converted-space">&nbsp;</span>Tuesday, June 12, 2012 1:04 PM<br><b>To:</b><span class="Apple-converted-space">&nbsp;</span>Eran Hammer; Mike Jones; Hannes Tschofenig; Julian Reschke<br><b>Cc:</b><span class="Apple-converted-space">&nbsp;</span><a href="mailto:oauth@ietf.org">oauth@ietf.org</a><br><b>Subject:</b><span class="Apple-converted-space">&nbsp;</span>Dynamic clients, URI, and stuff Re: [OAUTH-WG] Discussion needed on username and password ABNF definitions<o:p></o:p></span></div></div></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; "><o:p>&nbsp;</o:p></div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">I think dynamic client registration is something we have not talked out enough yet.&nbsp; There's a pretty clear use case for dynamic registration.&nbsp;&nbsp;<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; "><o:p>&nbsp;</o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">Does identifying the client with a URI allow some form of OpenID-ish flow for this?&nbsp;<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">Is the client ID as a URI a way to allow a trusted site to provide metadata about the client?<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">Is that URI a way to hit an IDP we trust to validate the client in some way with the provided secret?<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; "><o:p>&nbsp;</o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">I guess what I'm looking for here is a concrete use case/problem to solve, rather then leaving a hook we think is the right thing.<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; "><o:p>&nbsp;</o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; ">-bill<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; "><o:p>&nbsp;</o:p></span></div></div><div><blockquote style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-width: initial; border-color: initial; border-left-style: solid; border-left-color: rgb(16, 16, 255); border-left-width: 1.5pt; padding-top: 0in; padding-right: 0in; padding-bottom: 0in; padding-left: 4pt; margin-left: 3.75pt; margin-top: 3.75pt; margin-bottom: 5pt; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; font-family: 'Courier New'; color: black; "><o:p>&nbsp;</o:p></span></div><div><div><div><div class="MsoNormal" align="center" style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; text-align: center; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; background-position: initial initial; background-repeat: initial initial; "><span style="font-size: 10pt; font-family: Arial, sans-serif; color: black; "><hr size="1" width="100%" align="center"></span></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><b><span style="font-size: 10pt; font-family: Arial, sans-serif; color: black; ">From:</span></b><span style="font-size: 10pt; font-family: Arial, sans-serif; color: black; "><span class="Apple-converted-space">&nbsp;</span>Eran Hammer &lt;<a href="mailto:eran@hueniverse.com" style="color: blue; text-decoration: underline; ">eran@hueniverse.com</a>&gt;<br><b>To:</b><span class="Apple-converted-space">&nbsp;</span>Mike Jones &lt;<a href="mailto:Michael.Jones@microsoft.com" style="color: blue; text-decoration: underline; ">Michael.Jones@microsoft.com</a>&gt;; William Mills &lt;<a href="mailto:wmills@yahoo-inc.com" style="color: blue; text-decoration: underline; ">wmills@yahoo-inc.com</a>&gt;; Hannes Tschofenig &lt;<a href="mailto:hannes.tschofenig@gmx.net" style="color: blue; text-decoration: underline; ">hannes.tschofenig@gmx.net</a>&gt;; Julian Reschke &lt;<a href="mailto:julian.reschke@gmx.de" style="color: blue; text-decoration: underline; ">julian.reschke@gmx.de</a>&gt;<span class="Apple-converted-space">&nbsp;</span><br><b>Cc:</b><span class="Apple-converted-space">&nbsp;</span>"<a href="mailto:oauth@ietf.org" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a>" &lt;<a href="mailto:oauth@ietf.org" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a>&gt;<span class="Apple-converted-space">&nbsp;</span><br><b>Sent:</b><span class="Apple-converted-space">&nbsp;</span>Tuesday, June 12, 2012 11:39 AM<br><b>Subject:</b><span class="Apple-converted-space">&nbsp;</span>RE: [OAUTH-WG] Discussion needed on username and password ABNF definitions</span><span style="color: black; "><o:p></o:p></span></div></div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="color: black; "><o:p>&nbsp;</o:p></span></div><div id="yiv141816853"><div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">Is the use case of using URI as client ids important? It seems like something that might become useful in the future where clients can use their verifiable servers to bypass client registration and simly use a URI the server can validate via some other means.</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">I just want to make sure those thinking about more complex use cases involving dynamic registration or distributed client manamgenet are aware of this potential restriction.</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">I'm fine either way.</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">EH</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div style="border-top-style: none; border-right-style: none; border-bottom-style: none; border-width: initial; border-color: initial; border-left-style: solid; border-left-color: blue; border-left-width: 1.5pt; padding-top: 0in; padding-right: 0in; padding-bottom: 0in; padding-left: 4pt; "><div><div style="border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; border-top-style: solid; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding-top: 3pt; padding-right: 0in; padding-bottom: 0in; padding-left: 0in; "><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><b><span style="font-size: 10pt; color: black; ">From:</span></b><span style="font-size: 10pt; color: black; "><span class="Apple-converted-space">&nbsp;</span><a href="mailto:oauth-bounces@ietf.org" style="color: blue; text-decoration: underline; ">oauth-bounces@ietf.org</a><span class="Apple-converted-space">&nbsp;</span><a href="mailto:[mailto:oauth-bounces@ietf.org]" style="color: blue; text-decoration: underline; ">[mailto:oauth-bounces@ietf.org]</a><span class="Apple-converted-space">&nbsp;</span><b>On Behalf Of<span class="Apple-converted-space">&nbsp;</span></b>Mike Jones<br><b>Sent:</b><span class="Apple-converted-space">&nbsp;</span>Tuesday, June 12, 2012 11:27 AM<br><b>To:</b><span class="Apple-converted-space">&nbsp;</span>William Mills; Hannes Tschofenig; Julian Reschke<br><b>Cc:</b><span class="Apple-converted-space">&nbsp;</span><a href="mailto:oauth@ietf.org" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a><br><b>Subject:</b><span class="Apple-converted-space">&nbsp;</span>Re: [OAUTH-WG] Discussion needed on username and password ABNF definitions</span><span style="color: black; "><o:p></o:p></span></div></div></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="color: black; ">&nbsp;<o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">Not internationalizing fields intended for machine consumption only is already a precedent set and agreed to by the working group, so let me second Bill’s point in that regard.&nbsp; For instance, neither “scope” nor “error” allow non-ASCII characters.</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">Julian, if you want different ABNF text than the text I wrote below, I believe it would be most useful if you would provide the exact replace wording that you’d like to see instead of it.&nbsp; Then there’s no possibility of misunderstanding the intent of suggested changes.</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Thanks all,</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -- Mike</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 11pt; color: rgb(31, 73, 125); ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div style="border-right-style: none; border-bottom-style: none; border-left-style: none; border-width: initial; border-color: initial; border-top-style: solid; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding-top: 3pt; padding-right: 0in; padding-bottom: 0in; padding-left: 0in; "><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><b><span style="font-size: 10pt; color: black; ">From:</span></b><span style="font-size: 10pt; color: black; "><span class="Apple-converted-space">&nbsp;</span><a href="mailto:oauth-bounces@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">oauth-bounces@ietf.org</a><span class="Apple-converted-space">&nbsp;</span><a href="mailto:[mailto:oauth-bounces@ietf.org]" target="_blank" style="color: blue; text-decoration: underline; ">[mailto:oauth-bounces@ietf.org]</a><span class="Apple-converted-space">&nbsp;</span><b>On Behalf Of<span class="Apple-converted-space">&nbsp;</span></b>William Mills<br><b>Sent:</b><span class="Apple-converted-space">&nbsp;</span>Tuesday, June 12, 2012 11:18 AM<br><b>To:</b><span class="Apple-converted-space">&nbsp;</span>Hannes Tschofenig; Julian Reschke<br><b>Cc:</b><span class="Apple-converted-space">&nbsp;</span><a href="mailto:oauth@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a><br><b>Subject:</b><span class="Apple-converted-space">&nbsp;</span>Re: [OAUTH-WG] Discussion needed on username and password ABNF definitions</span><span style="color: black; "><o:p></o:p></span></div></div></div></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="color: black; ">&nbsp;<o:p></o:p></span></div></div><div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">I agree generally with your assumption about clients, but rather than saying "clients are devices" I think it makes much more sense to say "clients are NOT users, so client_id need not be internationalized".&nbsp; In practical terms there is very little to argue for anythign beyond ASCII in a client_secret, base64 encoding or the equivalent being a fine way to transport arbitrary bits in a portable/reasonable way.</span><span style="color: black; "><o:p></o:p></span></div></div></div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div></div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">I argue that client_id need not be internationalized because I assume that any really internationalized application will have an internationalized presentation layer that's presenting a pretty name for the client_id.</span><span style="color: black; "><o:p></o:p></span></div></div></div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div></div><div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">-bill</span><span style="color: black; "><o:p></o:p></span></div></div></div><div><div style="margin-bottom: 14pt; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="font-size: 14pt; color: black; ">&nbsp;</span><span style="color: black; "><o:p></o:p></span></div></div><div><div><div><div class="MsoNormal" align="center" style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; text-align: center; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; background-position: initial initial; background-repeat: initial initial; "><span style="font-size: 10pt; color: black; "><hr size="1" width="100%" align="center"></span></div><div><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><b><span style="font-size: 10pt; color: black; ">From:</span></b><span style="font-size: 10pt; color: black; "><span class="Apple-converted-space">&nbsp;</span>Hannes Tschofenig &lt;<a href="mailto:hannes.tschofenig@gmx.net" target="_blank" style="color: blue; text-decoration: underline; ">hannes.tschofenig@gmx.net</a>&gt;<br><b>To:</b><span class="Apple-converted-space">&nbsp;</span>Julian Reschke &lt;<a href="mailto:julian.reschke@gmx.de" target="_blank" style="color: blue; text-decoration: underline; ">julian.reschke@gmx.de</a>&gt;<span class="Apple-converted-space">&nbsp;</span><br><b>Cc:</b><span class="Apple-converted-space">&nbsp;</span>"<a href="mailto:oauth@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a>" &lt;<a href="mailto:oauth@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">oauth@ietf.org</a>&gt;<span class="Apple-converted-space">&nbsp;</span><br><b>Sent:</b><span class="Apple-converted-space">&nbsp;</span>Tuesday, June 12, 2012 11:01 AM<br><b>Subject:</b><span class="Apple-converted-space">&nbsp;</span>Re: [OAUTH-WG] Discussion needed on username and password ABNF definitions</span><span style="color: black; "><o:p></o:p></span></div></div></div><div style="margin-bottom: 12pt; "><div style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; "><span style="color: black; "><br>I had a chat with Julian yesterday and here is my short summary.<span class="Apple-converted-space">&nbsp;</span><br><br>Section 2.3 of the core draft defines client authentication based on two mechanisms (and provides room for extensions):<a href="http://tools.ietf.org/html/draft-ietf-oauth-v2-27#section-2.3" style="color: blue; text-decoration: underline; ">http://tools.ietf.org/html/draft-ietf-oauth-v2-27#section-2.3</a><br><br>1) HTTP Basic Authentication<br><br>2) A custom OAuth authentication mechanism (which uses client_id and client_secret)<br><br>With HTTP Basic authentication the problem is that this is a legacy technology and there is no internationalization support.<span class="Apple-converted-space">&nbsp;</span><br><br>With our brand new custom OAuth authentication mechanism we have more options.<span class="Apple-converted-space">&nbsp;</span><br><br>One possible approach is to say that the clients are devices (and not end users) and therefore internationalization does not matter.<span class="Apple-converted-space">&nbsp;</span><br><br>Is it, however, really true that only US-ASCII characters will appear in the client_id and also in the client_secret?<span class="Apple-converted-space">&nbsp;</span><br><br>Here we have the possibility to define something better.<span class="Apple-converted-space">&nbsp;</span><br><br>In any case we have to restrict the characters that are used in these two authentication mechanisms since they could conflict with the way how we transport the data over the underlying protocol. Julian mentioned this in his previous mails.<span class="Apple-converted-space">&nbsp;</span><br><br>Julian, maybe you can provide a detailed text proposal for how to address your comment in case we go for UTF8 (with % encoding) for the custom OAuth client authentication mechanism?<span class="Apple-converted-space">&nbsp;</span><br><br>Ciao<br>Hannes<br><br>On Jun 12, 2012, at 11:54 AM, Julian Reschke wrote:<br><br>&gt; On 2012-06-12 00:16, Mike Jones wrote:<br>&gt;&gt; Reviewing the feedback from Julian, John, and James, I'm coming to the conclusion that client_id and client_secret, being for machines and not humans, should be ASCII, whereas username and password should be Unicode, since they are for humans.&nbsp; Per John's feedback, client_id can not contain a colon and be compatible with HTTP Basic.<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt; I'm not sure that restricting the character repertoire just because one way to send requires this is the right approach. My preference would be not to put this into the ABNF, and just to point out that certain characters will not work over certain transports, and to just advise to avoid them.<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt; Therefore, I'd like to propose these updated ABNF definitions:<br>&gt;&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt;&nbsp; &nbsp; VSCHAR = %20-7E<br>&gt;&gt;&nbsp; &nbsp; NOCOLONVSCHAR = %x20-39 / %x3B-7E<br>&gt;&gt;&nbsp; &nbsp; UNICODENOCTRLCHAR = &lt;Any Unicode character other than ( %x0-1F / %x7F )&gt;<br>&gt;&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt;&nbsp; &nbsp; client-id = *NOCOLONVSCHAR<br>&gt;&gt;&nbsp; &nbsp; client_secret = *VSCHAR<br>&gt;&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt;&nbsp; &nbsp; username = *UNICODENOCTRLCHAR<br>&gt;&gt;&nbsp; &nbsp; password = *UNICODENOCTRLCHAR<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt; In this case you should add an introductory statement pointing out that the ABNF defines the grammar in terms of Unicode code points, not octets (as it is the case most of the time).<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt; It turns out that non-ASCII characters are OK for username and password because the Core spec only passes them in the form body - not using HTTP Basic - and UTF-8 encoding is specified.<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt; I'll send a separate mail about that, the current text in the spec is way too unspecific.<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; -- Mike<br>&gt;&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt;&gt; P.S.&nbsp; If anyone has a better ABNF for UNICODENOCTRLCHAR than "&lt;Any Unicode character other than ( %x0-1F / %x7F )&gt;", please send it to me!<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt; As noted before, here's an example: &lt;<a href="http://greenbytes.de/tech/webdav/rfc5323.html#rfc.section.5.15.1" target="_blank" style="color: blue; text-decoration: underline; ">http://greenbytes.de/tech/webdav/rfc5323.html#rfc.section.5.15.1</a>&gt;<br>&gt;<span class="Apple-converted-space">&nbsp;</span><br>&gt; Best regards, Julian<br>&gt; _______________________________________________<br>&gt; OAuth mailing list<br>&gt;<span class="Apple-converted-space">&nbsp;</span><a href="mailto:OAuth@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">OAuth@ietf.org</a><br>&gt;<span class="Apple-converted-space">&nbsp;</span><a href="https://www.ietf.org/mailman/listinfo/oauth" target="_blank" style="color: blue; text-decoration: underline; ">https://www.ietf.org/mailman/listinfo/oauth</a><br><br>_______________________________________________<br>OAuth mailing list<br><a href="mailto:OAuth@ietf.org" target="_blank" style="color: blue; text-decoration: underline; ">OAuth@ietf.org</a><br><a href="https://www.ietf.org/mailman/listinfo/oauth" target="_blank" style="color: blue; text-decoration: underline; ">https://www.ietf.org/mailman/listinfo/oauth</a><o:p></o:p></span></div></div></div></div></div></div></div></div></div></div><p class="MsoNormal" style="margin-top: 0in; margin-right: 0in; margin-left: 0in; margin-bottom: 12pt; font-size: 12pt; font-family: 'Times New Roman', serif; background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: white; background-position: initial initial; background-repeat: initial initial; "><span style="color: black; "><o:p>&nbsp;</o:p></span></p></div></div></blockquote></div></div></div></div>_______________________________________________<br>OAuth mailing list<br><a href="mailto:OAuth@ietf.org">OAuth@ietf.org</a><br><a href="https://www.ietf.org/mailman/listinfo/oauth">https://www.ietf.org/mailman/listinfo/oauth</a></div></blockquote></div><br><br><p>
This message and any attachment are intended solely for the addressee and may 
contain confidential information. If you have received this message in error, 
please send it back to me, and immediately delete it.   Please do not use, 
copy or disclose the information contained in this message or in any attachment.  
Any views or opinions expressed by the author of this email do not necessarily 
reflect the views of the University of Nottingham.
</p><p>
This message has been checked for viruses but the contents of an attachment
may still contain software viruses which could damage your computer system:
you are advised to perform your own checks. Email communications with the
University of Nottingham may be monitored as permitted by UK legislation.
</p></div>_______________________________________________<br>OAuth mailing list<br><a href="mailto:OAuth@ietf.org">OAuth@ietf.org</a><br><a href="https://www.ietf.org/mailman/listinfo/oauth">https://www.ietf.org/mailman/listinfo/oauth</a><br></blockquote></div><br><div apple-content-edited="true">
<span class="Apple-style-span" style="font-family: Courier; "><br class="Apple-interchange-newline"></span><span class="Apple-style-span" style="font-family: Courier; ">Eve Maler &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;</span><span class="Apple-style-span" style="font-family: Courier; "><a href="http://www.xmlgrrl.com/blog">http://www.xmlgrrl.com/blog</a></span><span class="Apple-style-span" style="font-family: Courier; "><br></span><span class="Apple-style-span" style="font-family: Courier; ">+1 425 345 6756 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;</span><span class="Apple-style-span" style="font-family: Courier; "><a href="http://www.twitter.com/xmlgrrl">http://www.twitter.com/xmlgrrl</a></span><span class="Apple-style-span" style="font-family: Courier; "><br></span><span class="Apple-style-span" style="font-family: Courier; "><br></span>
</div>
<br></div></blockquote></div><br></div></blockquote></div><br><div apple-content-edited="true">
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="font-family: Courier; "><br class="Apple-interchange-newline">Eve Maler &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;<a href="http://www.xmlgrrl.com/blog">http://www.xmlgrrl.com/blog</a><br>+1 425 345 6756 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;&nbsp;<a href="http://www.twitter.com/xmlgrrl">http://www.twitter.com/xmlgrrl</a><br><br></span></span>
</div>
<br></body></html>