I vote for John.<br><br>If there are some important reason to return code  + token at the same time,  client should process them <br>at the same time.<br>If only the code is returned in query parameter,  client may process it without the returned token.<br>
<br>I know clients can process code later if anonymous session hold auth request objects, but<br>it is not simple implementation. <br><br>I might missed some important issues...<br><br>---<br>hdknr<br><br><br><div class="gmail_quote">
2011/9/16 Edmund Jay <span dir="ltr"><<a href="mailto:ejay@mgi1.com">ejay@mgi1.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><div style="font-family:tahoma,new york,times,serif;font-size:10pt;color:#000000">
<span>While trying to resolve issue # 31 ( <a href="https://bitbucket.org/openid/connect/issue/31/standard-5121-inconsistency-with-messages" target="_blank">https://bitbucket.org/openid/connect/issue/31/standard-5121-inconsistency-with-messages</a> ) in the Issue Tracker, the working group runs in to the problem of how to return authorization responses when multiple response_types are requested.</span><br>
<br>According to the OAuth 2.0 specs, the responses are returned as follows :<br><br>response_type                  
 response<br>-----------------------------------------------------<br>code                                code returned in the query<br>token                               token returned in the fragment<br><br>code token                       unspecified (leave open for possible extension spec to register response_type combination)<br>
<br>code id_token<br>token id_token<br>code token id_token          <br><br><br>For the unspecified cases, John Bradley holds the position that if a fragment is returned,
 then all parameters are returned in the fragment. Others (Nat, Edmund) believes that code should be returned in the query while token and id_token are always returned in the fragment.<br><br>We would like to request consensus from the group on how to handle such responses, so that the responses for the specified combinations can be clearly specified and registered with OAuth.<br>
<font color="#888888"><br>-- Edmund<br><div><br></div>
</font></div></div><br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br>