<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    The rationale behind this functionality is that you don't want to
    inadvertently leak information to a protected resource about the
    overall reach of a token if the token is usable beyond that
    particular protected resource. Let's say I have two resources, "A"
    and "B", and they have associated scopes, "a" and "b". If the client
    gets a token with scope "a b" and plays it at "A", we might not want
    "A" to inadvertently discover that the token could also be used at
    "B".<br>
    <br>
    I would not recommend removing the check entirely, <i>however</i>:
    the behavior has changed in version <b>1.2.0</b> such that the
    server doesn't return an error anymore, but instead returns only the
    scopes associated with the protected resource. In the scenario
    above, when "A" introspects the token with "a b", it gets back a
    response that only includes "a" in the scope field, while "B" would
    get back a response that only includes "b" in the scope field of the
    same token.<br>
    <br>
     -- Justin<br>
    <br>
    <div class="moz-cite-prefix">On 8/27/2015 4:12 AM, Zaninetta Stefano
      wrote:<br>
    </div>
    <blockquote
cite="mid:54157349F242BB49BB5F00BCF806022265B178F5@REXME.intranet.epfl.ch"
      type="cite">
      <meta http-equiv="Content-Type" content="text/html;
        charset=windows-1252">
      <style id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
      <div style="direction: ltr;font-family: Tahoma;color:
        #000000;font-size: 10pt;">Hello,<br>
        <br>
        I noticed that the Introspection endpoint is returning 403 if
        the introspecting client configuration doesn't include all the
        scopes associated with the introspected token.<br>
        (<a moz-do-not-send="true"
href="https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/mitreid-connect-1.1.15/openid-connect-server/src/main/java/org/mitre/oauth2/web/IntrospectionEndpoint.java#L130"
          target="_blank">https://github.com/mitreid-connect/OpenID-Connect-Java-Spring-Server/blob/mitreid-connect-1.1.15/openid-connect-server/src/main/java/org/mitre/oauth2/web/IntrospectionEndpoint.java#L130</a>)<br>
        <br>
        I don't understand what is the reason of for that check and I
        couldn't find such recommendation in the latest specs
        (<a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/draft-ietf-oauth-introspection-11">https://tools.ietf.org/html/draft-ietf-oauth-introspection-11</a>).<br>
        Could anyone explain me what is the rationale behind that?<br>
        <br>
        At the moment the workaround we adopted is to configure all the
        available scopes for all the clients used by the Protected
        Resources; that is equivalent to skip the check.<br>
        Hence, I was considering removing it from the code, but I want
        to be sure I'm not missing any security implication.<br>
        <br>
        Thanks a lot,<br>
        Stefano<br>
      </div>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
mitreid-connect mailing list
<a class="moz-txt-link-abbreviated" href="mailto:mitreid-connect@mit.edu">mitreid-connect@mit.edu</a>
<a class="moz-txt-link-freetext" href="http://mailman.mit.edu/mailman/listinfo/mitreid-connect">http://mailman.mit.edu/mailman/listinfo/mitreid-connect</a>
</pre>
    </blockquote>
    <br>
  </body>
</html>