<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body ocsi="0" fpstyle="1" bgcolor="#FFFFFF">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Thank you Justin for the explanation!<br>
I'll consider upgrading to 1.2 or implement the same behaviour in our version!<br>
<br>
Regards,<br>
Stefano<br>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<hr tabindex="-1">
<div style="direction: ltr;" id="divRpF820268"><font face="Tahoma" size="2" color="#000000"><b>From:</b> Justin Richer [jricher@mit.edu]<br>
<b>Sent:</b> Thursday, August 27, 2015 12:48 PM<br>
<b>To:</b> Zaninetta Stefano; mitreid-connect@mit.edu<br>
<b>Subject:</b> Re: [mitreid-connect] Introspection endpoint - scopes check<br>
</font><br>
</div>
<div></div>
<div>The rationale behind this functionality is that you don't want to inadvertently leak information to a protected resource about the overall reach of a token if the token is usable beyond that particular protected resource. Let's say I have two resources,
 &quot;A&quot; and &quot;B&quot;, and they have associated scopes, &quot;a&quot; and &quot;b&quot;. If the client gets a token with scope &quot;a b&quot; and plays it at &quot;A&quot;, we might not want &quot;A&quot; to inadvertently discover that the token could also be used at &quot;B&quot;.<br>
<br>
I would not recommend removing the check entirely, <i>however</i>: the behavior has changed in version
<b>1.2.0</b> such that the server doesn't return an error anymore, but instead returns only the scopes associated with the protected resource. In the scenario above, when &quot;A&quot; introspects the token with &quot;a b&quot;, it gets back a response that only includes &quot;a&quot; in
 the scope field, while &quot;B&quot; would get back a response that only includes &quot;b&quot; in the scope field of the same token.<br>
<br>
&nbsp;-- Justin<br>
<br>
<div class="moz-cite-prefix">On 8/27/2015 4:12 AM, Zaninetta Stefano wrote:<br>
</div>
<blockquote type="cite"><style id="owaParaStyle" type="text/css">
<!--
p
        {margin-top:0;
        margin-bottom:0}
-->
BODY {direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;}P {margin-top:0;margin-bottom:0;}BODY {scrollbar-base-color:undefined;scrollbar-highlight-color:undefined;scrollbar-darkshadow-color:undefined;scrollbar-track-color:undefined;scrollbar-arrow-color:undefined}</style>
<div style="direction:ltr; font-family:Tahoma; color:#000000; font-size:10pt">Hello,<br>
<br>
I noticed that the Introspection endpoint is returning 403 if the introspecting client configuration doesn't include all the scopes associated with the introspected token.<br>
(<a href="https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/mitreid-connect-1.1.15/openid-connect-server/src/main/java/org/mitre/oauth2/web/IntrospectionEndpoint.java#L130" target="_blank">https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/mitreid-connect-1.1.15/openid-connect-server/src/main/java/org/mitre/oauth2/web/IntrospectionEndpoint.java#L130</a>)<br>
<br>
I don't understand what is the reason of for that check and I couldn't find such recommendation in the latest specs (<a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/draft-ietf-oauth-introspection-11" target="_blank">https://tools.ietf.org/html/draft-ietf-oauth-introspection-11</a>).<br>
Could anyone explain me what is the rationale behind that?<br>
<br>
At the moment the workaround we adopted is to configure all the available scopes for all the clients used by the Protected Resources; that is equivalent to skip the check.<br>
Hence, I was considering removing it from the code, but I want to be sure I'm not missing any security implication.<br>
<br>
Thanks a lot,<br>
Stefano<br>
</div>
<br>
<fieldset class="mimeAttachmentHeader" target="_blank"></fieldset> <br>
<pre>_______________________________________________
mitreid-connect mailing list
<a class="moz-txt-link-abbreviated" href="mailto:mitreid-connect@mit.edu" target="_blank">mitreid-connect@mit.edu</a>
<a class="moz-txt-link-freetext" href="http://mailman.mit.edu/mailman/listinfo/mitreid-connect" target="_blank">http://mailman.mit.edu/mailman/listinfo/mitreid-connect</a>
</pre>
</blockquote>
<br>
</div>
</div>
</div>
</body>
</html>