OAuth 2.0: может ли пользовательский агент (клиент) избежать пересылки фрагментов?

Question

В черновой спецификации OAuth 2.0 клиенты пользовательского агента получают авторизацию в виде токена-носителя через перенаправление (с сервера аутентификации) на URL-адрес, такой как

HTTP/1.1 302 Found
Location: http://example.com/rd#access_token=FJQbwq9&expires_in=3600

В соответствии с Разделом 3.5.2 в этом случае пользовательский агент должен получить рассматриваемый URL, но " Пользовательский агент НЕ ДОЛЖЕН включать в запрос компонент фрагмента."Другими словами, в результате приведенного выше примера перенаправления пользовательский агент должен

 GET /rd HTTP/1.1
 Host: example.com

без передачи #access_token на сервер.

Мой вопрос: какие пользовательские агенты ведут себя таким образом? Я думал, что перенаправление в Firefox, например, будет (логически) включать фрагмент в запрос GET. Я просто неправ в этом или спецификация OAuth 2.0 основана на нестандартном поведении пользовательского агента?

Answer 1

На самом деле Firefox и другие браузеры ведут себя таким образом по умолчанию. Фрагменты после # в URL используются браузером, чтобы определить, какую часть страницы отображать; они не отправляются на сервер как часть запроса GET.