Quando si utilizzano i codici di autorizzazione (nel flusso Explicit oAuth2), l'agente utente non sembra mai vedere altro che il codice di autenticazione, che non identifica nemmeno l'utente. Il codice viene quindi inviato al client, che ora conoscerà l'identità dell'utente e potrà accedere alla risorsa protetta. Ma l'agente utente sembra ancora essere tenuto all'oscuro su chi ha effettuato l'accesso.
Quindi, come fa un agente utente a sapere chi ha effettuato l'accesso?