<div dir="ltr">I'm a little more pedantic about decent HTTP than REST; on that note, we're already returning a Vary: X-Auth-Token in our responses, which covers us in this scenario (the token provided in the request dictates the content of the response). However, I'm totally fine with the idea of issuing a redirect if we go down this path.</div>
<div class="gmail_extra"><br clear="all"><div><div><br></div>-Dolph</div>
<br><br><div class="gmail_quote">On Wed, Jan 16, 2013 at 11:29 AM, Vishvananda Ishaya <span dir="ltr"><<a href="mailto:vishvananda@gmail.com" target="_blank">vishvananda@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
On Jan 16, 2013, at 8:07 AM, Dolph Mathews <<a href="mailto:dolph.mathews@gmail.com">dolph.mathews@gmail.com</a>> wrote:<br>
<br>
> Currently, the API user is allowed to not include a domain_id in a request to create new users or create new projects. The assumption is that the service will assign those resources to the creating user's domain.<br>

><br>
> In a recent keystone meeting, I believe we did have a brief discussion about applying such a behavior to other calls. Currently, the two calls you listed are different (the first returns all users in the system regardless of domain). Further, if the second call was going to default to a domain, I would hope it would default to the requesting user's domain, not the default domain.<br>

><br>
> That said, with the introduction of domain-specific role grants[1] and domain-scoped tokens[2], we have a third option: listing users in the domain for which your token token is authorized, regardless of whether you specify a domain in the query string. I don't think we would have a way to list all users in the system at that point.<br>

<br>
</div>If we are being pedantic about REST, this should not be allowed, because a given uri should corresspond to one set of data. I guess the "right" way to do it would be to redirect to ?domain_id=<users_domain>. That said, I've always felt that REST breaks down with lists and authz so some cheating may be warranted.<br>

<br>
Vish<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</div></div></blockquote></div><br></div>