<div dir="ltr">Sorry, I understood that. A new item added to FAPI Part 2 requires <i>"all parameters are present inside the signed request object"</i>. If a request object includes all request parameters, the authorization server can judge whether the request (represented by the request object) is a pure OAuth 2.0 request or not.<div><br></div><div>Thanks,</div><div>Taka</div></div><div class="gmail_extra"><br><div class="gmail_quote">2018-02-09 0:40 GMT+09:00 Takahiko Kawasaki <span dir="ltr"><<a href="mailto:daru.tk@gmail.com" target="_blank">daru.tk@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div><i><font color="#0b5394">> <b>FAPI Part 2, 7.3 Successful response, 6, the 3rd item:</b></font></i></div><div><i><font color="#0b5394">> iss : A JSON string that represents the issuer identifier of the authorization server as defined in RFC7519. When a pure OAuth 2.0 is used, the value is the redirection URI. When OpenID Connect is used, the value is the issuer value of the authorization server.</font></i></div><div><br></div><div>What does <i>"When a pure OAuth 2.0 is used"</i> mean? Does it mean <i>"when the request object registration request is a pure OAuth 2.0 request"</i>? Or does it mean <i>"when the authorization server is configured as a pure OAuth 2.0 server"</i>? Or else?</div><div><br></div><div>In addition, regarding <i>"the value is the redirection URI"</i>, how can the authorization server determine the redirection URI when multiple redirection URIs are registered?</div><div><br></div><div>Likewise, what does <i>"When OpenID Connect is used"</i> mean?</div><div><br></div><div>Best Regards,</div><div>Takahiko Kawasaki<br></div><div><br></div></div>
</blockquote></div><br></div>