
<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    Sounds great.  I hope we don't have to implement this for SAML too

    ;)<br>

    <br>

    <div class="moz-cite-prefix">On 4/29/2016 12:02 AM, Stian Thorgersen

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAJgngAf5VX-+StUGCaZYH2asMori7X2g5zFVcn8SrOT=XjRCKg@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>Clients should be able to obtain tokens with reduced scope

          and longer or shorter expiration, then later request new

          tokens with increased scope and different expiration. They

          should also be able to require different levels of

          authentication and also require re-authentication.<br>

        </div>

        <div><br>

        </div>

        <div>An application may for example:</div>

        <div><br>

        </div>

        <div>* At first only need users email - this would allow showing

          the name + email. In this situation a long expiration access

          token in combination with implicit flow would do. It's also

          not necessary to re-authenticate the user and a user that has

          been logged-in for months or even a year is fine. </div>

        <div><br>

        </div>

        <div>* When a user clicks on orders it would require the

          password and extend scope to be able to view orders. Now

          you'll want to switch to short expiration access tokens and

          authorization code grant. You'll also want to make sure the

          user logged-in fairly recently, max 30 days could be sensible.</div>

        <div><br>

        </div>

        <div>* When a user tries to purchase something the user now has

          to provide the OTP to be able to purchase with saved credit

          card details. You'll also want to make sure the user logged-in

          very recently, max a day could be required. There may also be

          cases where you always want the user to re-authenticate, for

          example when trying to purchase something over a certain price

          level.</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-dev mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-dev@lists.jboss.org">keycloak-dev@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-dev">https://lists.jboss.org/mailman/listinfo/keycloak-dev</a></pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Bill Burke

JBoss, a division of Red Hat

<a class="moz-txt-link-freetext" href="http://bill.burkecentral.com">http://bill.burkecentral.com</a></pre>

  </body>

</html>