<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Any amendments or additions to this list?<br><br></blockquote><div><br></div><div>One small one. When the user resets their password (and thus kB changes, and thus any derived OAuth keys change), there should be a well-documented way for applications to detect this.</div><div><br></div><div>The lifespan of a key should probably not be different to that of an authenticated session; if it is, we run the risk of allowing a client to write data with a key that no other client can read, until eventually its session expires and it learns the new key. In Sync we use X-Client-State to avoid this.</div><div><br></div><div>Key changes shouldn't come down to an eventual HMAC error, else app developers will screw it up.</div></div></div></div>