<div dir="ltr"><div style>In the 2nd paragraph of </div><h3 style="font-family:helvetica,monaco,'MS Sans Serif',arial,sans-serif;color:rgb(51,51,51);background-color:transparent">2.2.6.1.  End-User Grants Authorization</h3>
<div style>of Standard, it states: </div><div><br></div><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">Note that if the </span><tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">response_type</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> parameter in the Authorization Request includes the string value </span><tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">token</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> or </span><tt style="color:rgb(0,51,102);font-family:'Courier New',Courier,monospace">id_token</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">, all response parameters SHOULD be added to the fragment component of the redirection URI. Otherwise, the response parameters are added to the query component of the redirection URI.</span><br clear="all">
<div><br></div><div style>Is it SHOULD? Is it not MUST? </div><div style>SHOULD means that it can be sent otherwise, e.g., as query string. </div><div style><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br>
<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div>