<div dir="ltr"><div style="color:rgb(0,0,0);font-size:12.8px">Hi All,</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">I would like to clarify on, with which response 'session_state' parameter should be sent when supporting OpenID Connect session management in authorization code flow.</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">As per the specification, session_state parameter should be returned with the authentication response. </div><div style="color:rgb(0,0,0);font-size:12.8px">By referring the OpenID Connect Session Management specification and OpenID Connect Core specification, what I understood was that the session_state parameter should be sent along with the authorization code, in the authorization code flow. </div><div style="color:rgb(0,0,0);font-size:12.8px">But, when it comes to Open ID Connect, seems there are also assumptions, that authentication response is where the access token and ID token are returned.</div><div style="color:rgb(0,0,0);font-size:12.8px">So, kindly would like to know whether it should be returned with the authorization code or in the json response where ID token and access token is returned. </div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">Thanks,</div><div style="color:rgb(0,0,0);font-size:12.8px">Malithi</div><div class="" style="margin:2px 0px 0px;color:rgb(0,0,0);font-size:12.8px"></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><span><font color="#888888"><div><div><br><b>Malithi Edirisinghe</b><br></div><div dir="ltr"><div>Senior Software Engineer<br><span><font color="#888888"><span style="color:rgb(136,136,136)">WSO2 Inc.</span></font></span><br><br></div><div>Mobile : +94 (0) <font color="#888888">718176807</font><br></div>
<div><a href="mailto:malithim@wso2.com" target="_blank">malithim@wso2.com</a></div></div></div>
</font></span></div></div>
</div>