My understanding of FB's implementation is that their equivalent of the id_token actually contains the access_token, rather than a hash of the access_token or code.<div><br></div><div>Is the FB signed_request the equivalent of the id_token?</div>
<div><br></div><div><a href="https://developers.facebook.com/docs/authentication/signed_request/">https://developers.facebook.com/docs/authentication/signed_request/</a></div><div><br></div><div>Allen</div><div><br></div>
<div><br><br><div class="gmail_quote">2011/8/25 John Bradley <span dir="ltr"><<a href="mailto:ve7jtb@ve7jtb.com">ve7jtb@ve7jtb.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
<br>
Facebook is currently doing something like this with there signed request tokens where they are including code in the token, or a hash of the access token.<br>
Facebook's implementation is not completely based on OAuth 2 draft 10.   It is a bit hard to figure it out from the documentation.<br>
<br><br></blockquote></div><br></div>