Cuando se utilizan códigos de autorización (en el flujo explícito de oAuth2), el agente de usuario parece no ver nada que no sea el código de autenticación, que ni siquiera identifica al usuario. Luego se envía el código al cliente, que ahora conocerá la identidad del usuario y podrá acceder al recurso protegido. Pero el agente de usuario todavía parece no saber quién está conectado.
Entonces, ¿cómo sabe un agente de usuario quién está conectado?