OIDC Flujo híbrido

Estoy tratando de entender el flujo híbrido de OIDC. ¿Tengo razón al pensar que se realiza una solicitud de autenticación al punto final de autorización, que luego responde con el código de autorización, el token de identificación y el token en el fragmento de URL?

Si ese es el caso, ¿cuál es el punto de devolver un código de autorización si no se va a cambiar por un token de acceso e identificación?

  

3.3.2.5. Respuesta de autenticación exitosa

     

Al utilizar el Flujo híbrido, las respuestas de autenticación se realizan de la misma manera que para el Flujo implícito, como se define en la Sección 3.2.2.5, con la excepción de las diferencias especificadas en esta sección.

     

Estos resultados de puntos finales de autorización se utilizan de la siguiente manera:

     

access_token
OAuth 2.0 Access Token . Esto se devuelve cuando el valor de tipo de respuesta utilizado es code token o code id_token token . (También se devuelve un valor token_type en los mismos casos).

     

id_token
ID Token . Esto se devuelve cuando el valor de tipo de respuesta utilizado es code id_token o code id_token token .

     

código
Código de autorización . Esto siempre se devuelve cuando se utiliza el flujo híbrido.

     

El siguiente es un ejemplo no normativo de una respuesta exitosa utilizando el Flujo Híbrido (con envolturas de línea solo para fines de visualización):

     

HTTP/1.1 302 Found Location: https://client.example.org/cb# code=SplxlOBeZQQYbYS6WxSbIA &id_token=eyJ0 ... NiJ9.eyJ1c ... I6IjIifX0.DeWt4Qu ... ZXso &state=af0ifjsldkj