<div dir="ltr">Sorta. It'll be like the hawk module in npm: Servers (fxa-oauth-server) and clients (<a href="http://123done.org">123done.org</a>) can use it. A client would simply do something like `req.headers.authorization = fxa.header(req, secretKey);` Also a keys() method to generate keys for each token, and an authenticate() method for fxa-oauth-server (and whoever else likes the idea) to compare the header with a public key.<br>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Apr 9, 2014 at 12:02 PM, Chris Karlof <span dir="ltr"><<a href="mailto:ckarlof@mozilla.com" target="_blank">ckarlof@mozilla.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><br><div><div><div class="h5"><div>On Apr 9, 2014, at 11:28 AM, Sean McArthur <<a href="mailto:smcarthur@mozilla.com" target="_blank">smcarthur@mozilla.com</a>> wrote:</div>

<br><blockquote type="cite"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Apr 8, 2014 at 12:35 PM, Chris Karlof <span dir="ltr"><<a href="mailto:ckarlof@mozilla.com" target="_blank">ckarlof@mozilla.com</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><blockquote type="cite"><div dir="ltr">

  - <b>[needs UX ]</b> for sign-up flow, permissions, forgot password (perhaps that order?)<br></div></blockquote><div><span style="white-space:pre-wrap"> </span></div></div><div>I don't think we need a permission screen for the early May deadline. Forgot password should be prioritized above that. </div>



<div><br></div></div></blockquote><div><br></div><div>Yea, that sounds right. <b>John/Ryan</b>, whatcha think?<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word"><div><blockquote type="cite"><div dir="ltr"><div>  - needs l10n for scopes, but only when we have more scopes, and RPs that aren't whitelisted (whitelisted apps/scopes are automatically approved)<br>





</div><br></div></blockquote><div><br></div></div><div>We can start this effort, but it shouldn't block, since we won't have a permission screen for initial reliers.</div><div>

<div><br></div></div></div></blockquote><div><br></div><div>Absolutely. This isn't needed until there are reliers we don't control (and aren't whitelisted).<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word"><div><br></div><div>One thing missing from this is "relier libraries", e.g., common FxA visual elements (Sign in/Sign up/Logout buttons, signed in state), JS libs, etc.</div>

<div><br></div></div></blockquote><div><br></div><div>I'm working on nodejs library for request signing, which will be used by oauth-server and profile-server initially, and could be used by other reliers who use nodejs. Which else should we provide? Python, Ruby, Java?<br>



<br></div></div></div></div></blockquote><div><br></div></div></div><div>Can you provide more context on this request signing library? Is this for verifying signatures in the next-gen oauth-ish stuff you're working on with warner?</div>

<span class="HOEnZb"><font color="#888888"><div><br></div><div>-chris</div><div><br></div><div><br></div><div><br></div></font></span></div><br></div></blockquote></div><br></div>