<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Tue, Jun 19, 2018 at 2:54 PM Nat Sakimura via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">I received the following message at the OIDF Facebook page. </div><div dir="auto">Perhaps could someone take care of it? </div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto">Can you please take a look at <a href="https://stackoverflow.com/questions/50740532/should-id-token-contain-claims-when-used-during-authorization-code-flow" target="_blank">https://stackoverflow.com/questions/50740532/should-id-token-contain-claims-when-used-during-authorization-code-flow</a> and give your response there?</div><div dir="auto"><br></div><div dir="auto">Multiple authorization providers implementing oidc have this implemented differently - sometimes id_token contains claims when access_token is returned, sometimes not and call to userInfo is required, sometimes it is in both userInfo and id_token which is quite confusing why this is in multiple places, what is the reasoning behind it. In my opinion this should be clarified in the documentation, how it should be implemented according to openid standard.</div></blockquote><div><br></div><div>Fwiw, I don't think it needs clarification: <a href="https://stackoverflow.com/a/50930696/116472">https://stackoverflow.com/a/50930696/116472</a> </div></div></div>