<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Sep 8, 2010, at 1:27 PM, Stephen Waterbury wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: 'Bitstream Vera Sans Mono'; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; font-size: medium; "><span class="Apple-style-span" style="font-family: monospace; ">Neither the OP nor Glyph use the term<br>"authorization" in either of their messages, but that concept<br>is clearly involved and is almost always useful for<br>clarification.<br></span></span></blockquote></div><br><div>The checker authenticates; the realm authorizes.</div><div><br></div><div>Authorization proceeds from the realm's idea of what a particular avatar ID (and, apparently, mind, as laurens has discovered this particular loophole in the API) is authorized to do; authentication proceeds from what the checker thinks makes some credentials valid.</div><div><br></div><div>As you put it:</div><div><br></div><div><blockquote type="cite"><span class="Apple-style-span" style="font-family: monospace; ">Once that interaction is complete, the app knows<br>the identity associated with the TGT has been authenticated, and<br>it can proceed with authorization, which of course depends on<br>each application's context, and is completely separate from<br>authentication.</span></blockquote></div><div><br></div><div>replace "application" with "realm" here and that's basically how twisted.cred works.</div><div><br></div><div>The reason <i>I</i> didn't use the term authorization in my original message is that we're talking about an authentication protocol, and hopefully authorization can stay out of it :).</div><div><br></div></body></html>