Hi Breno -<div><br></div><div>I don't have much first hand experience with FB's signed_request, but my understanding is allows FB to return a signed response to an app, so that the app knows that it came from FB.</div>
<div><br></div><div><a href="https://developers.facebook.com/docs/authentication/signed_request/">https://developers.facebook.com/docs/authentication/signed_request/</a></div><div><br></div><div>The docs don't say that there are two Access Tokens, instead the Access Token is a signed parameter contained within the signed_request.</div>
<div><br></div><div>My concern regarding the id_token and the CheckSession API is that it could be confusing to tell developers that the id_token is an Access Token, but only for the CheckSession API. All other endpoints use the regular Access Token.</div>
<div><br></div><div>Allen</div><div><br></div><div><br><br><div class="gmail_quote">On Mon, Aug 22, 2011 at 12:31 PM, Breno de Medeiros <span dir="ltr"><<a href="mailto:breno@google.com">breno@google.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Mon, Aug 22, 2011 at 12:05, Allen Tom <<a href="mailto:allentomdude@gmail.com">allentomdude@gmail.com</a>> wrote:<br>

> I think it might be confusing to developers to have multiple access tokens.<br>
> I don't think I've seen any other Connect/OAuth type implementations that<br>
> return multiple access tokens. Are there any examples out there?<br>
<br>
</div>Yes. Facebook Connect uses signed_request as the id_token.<br>
<div class="im"><br></div></blockquote></div></div>