<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, Oct 18, 2018 at 1:33 PM Vlad Filippov <<a href="mailto:vfilippov@mozilla.com">vfilippov@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr">Hi all,<div><br></div><div>We are in the process of merging the oauth-server into auth-server[1]. This has been a proposal for several years now. The best time to do this was years ago, the second best time is now.</div></div></div></blockquote></div><div class="gmail_quote"><br></div><div class="gmail_quote">Can we get some discussion of why we didn't build oauth support into `fxa-auth-server` to begin with?  I recall there was a desire to isolate potentially security sensitive code (much of which is centralized in the customs server now?).  Why are the reasons we made a decision years ago no longer appropriate?</div><div class="gmail_quote"><br></div><div class="gmail_quote">Nick<br></div></div>