<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    On 10/21/2015 05:12 AM, Eran Meir wrote:<br>

    <blockquote

cite="mid:CAEQ6Z0yvieLRcz1H5RvW2D2QOMp5s3Pf-PrvH1Rx41h-3_=uwQ@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>

          <div>

            <div>

              <div>From what I read, the two main alternatives for

                identity management are <a moz-do-not-send="true"

                  href="https://en.wikipedia.org/wiki/OpenID_Connect">OIDC

                </a>(OpenID Connect) and <a moz-do-not-send="true"

                  href="https://en.wikipedia.org/wiki/Security_Assertion_Markup_Language">SAML</a>.<br>

              </div>

              [...]<br>

            </div>

            <br>

          </div>

          <div>If I had to risk a guess I would say OIDC will gradually

            replace SAML (or a new system will replace both?), so I

            suggest supporting OIDC.<br>

          </div>

          <div><br>

            OIDC is basically OAuth2.0 + <a moz-do-not-send="true"

              href="https://en.wikipedia.org/wiki/JSON_Web_Token">JWT</a>.

            A gradual implementation approach may be supporting those

            building blocks as Ur/Web libraries first.<br>

          </div>

        </div>

      </div>

    </blockquote>

    <br>

    OK, this seems like the most positive recommendation so far, in

    terms of a concrete "standard" that is in use by key players today.<br>

    <br>

    Is anyone interested in taking the lead in developing a library?<br>

    <br>

    I'm motivated enough about at least the OAuth part, as I want to use

    it for a web app, aimed at developers, to do login with GitHub

    credentials.  So, I expect that bit would get done by early 2016,

    even if no one else volunteers.  JWT/OIDC would be a lower priority,

    but sounds appropriate for apps targeting broader audiences.<br>

    <br>

    However, I would be very glad to see someone else taking the lead on

    an open-source Ur/Web library that handles all the credible enough

    authentication protocols.  The existing OpenID library could be a

    good inspiration:<br>

        <a class="moz-txt-link-freetext" href="http://hg.impredicative.com/openid">http://hg.impredicative.com/openid</a><br>

    [Presumably that original OpenID protocol is no longer worth

    supporting.]<br>

    <br>

    Any takers?<br>

    <br>

  </body>

</html>