<div dir="ltr">Assuming no text has been added / crafted apart from the section 2 and section 11, I think I am done with it. <div><br></div><div>Two versions: One is more radical than the other: the file name indicates it. </div>
<div>The radical one merges implicit and hybrid into Multiple Response Types. </div><div>In fact, there is no pure "implicit" authentication. It is always Hybrid. </div><div>So, this probably is more logical. I also got rid of the word "Code Flow". </div>
<div>It is an undefined word now that OAuth got rid of the term. </div><div>I replaced it with Code Grant. </div><div><br></div><div>I also removed bunch of redundant text. </div><div><br></div><div>There are a few technical changes. Otherwise, though it may seem to be a lot of change, they are all editorial. Technical changes are marked in the comment with (te). </div>
<div><br></div><div>They are: </div><div><br></div><div>1. The fragment handling. </div><div><br></div><div>Section 2.2.2.7 says that fragment has to be sent to the Web Server. This is not true. The javascript client may consume it by itself. This was a new text added in the new Core. I propose to remove it entirely. </div>
<div><br></div><div>2. Relationship of Access Tokens</div><div><br></div><div>The proposed text says they should be the same. I contend that they actually should be different. This, again, is a new text introduced in the new core. </div>
<div><br></div><div>It is now almost 3:00am. I am going to the bed now. </div><div><br></div><div>Cheers, </div><div><br></div><div><br></div><div><div><br></div>-- <br>Nat Sakimura (=nat)<div>Chairman, OpenID Foundation<br>
<a href="http://nat.sakimura.org/" target="_blank">http://nat.sakimura.org/</a><br>@_nat_en</div>
</div></div>