<HTML>
<HEAD>
<TITLE>Re: [OpenID] &nbsp;What about Logout?</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>I agree, logout seems to be more and more important for a full single sign-on / sign-out experience. We found with Facebook Connect that we had to offer RPs the ability to log the user out of Facebook, for consistency.<BR>
<BR>
Consider this: the user goes to the RP, clicks the &#8220;login&#8221; button, and then a popup comes up onto their OP. The user happily enters their credentials, popup closes, and they&#8217;re in. Great! Then they hit &#8220;logout&#8221; on the site they&#8217;re on, and go on their way. But if this is a shared terminal, then they still have a cookie onto their OP, which leaves them exposed. A better solution would be to let the RP log them out of their provider.<BR>
<BR>
There are workarounds, some of which were suggested by Allen in previous threads &#8211; for instance, having a short cookie timeout, trying to detect recent activity, etc, but none are quite as clean as a solid logout trick.<BR>
<BR>
I think it would be relatively easy to add to the next spec. We could add an additional mode or two - say, &#8220;logout_setup&#8221; or &#8220;logout_immediate&#8221;. They would be behave the same as checkid_immediate and checkid_setup, except in reverse &#8211; the RP must supply the correct user credentials, and the OP can then log them out and return only &#8220;success&#8221; or &#8220;failure&#8221;. <BR>
<BR>
<BR>
On 4/8/09 7:05 AM, &quot;Santosh Rajan&quot; &lt;<a href="santrajan@gmail.com">santrajan@gmail.com</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
If an RP wants to logout the user not only from his site, but also from the<BR>
OP, there is no easy way for him to do it. Currently it is a pain. He needs<BR>
to figure how to log out from each OP himself, while most OP's havent even<BR>
documented this.<BR>
Eg. This is the Google Logout URL.<BR>
<a href="https://www.google.com/accounts/Logout">https://www.google.com/accounts/Logout</a><BR>
This is Yahoo's undocumented Logout URL.<BR>
<a href="https://login.yahoo.com/config/login?logout=1">https://login.yahoo.com/config/login?logout=1</a><BR>
<BR>
Maybe we need to address this in 2.1? Like the OP may provide the Logout URL<BR>
in the discovery itself along with the endpoint URL?<BR>
--<BR>
View this message in context: <a href="http://www.nabble.com/What-about-Logout--tp22951181p22951181.html">http://www.nabble.com/What-about-Logout--tp22951181p22951181.html</a><BR>
Sent from the OpenID - General mailing list archive at Nabble.com.<BR>
<BR>
_______________________________________________<BR>
general mailing list<BR>
<a href="general@openid.net">general@openid.net</a><BR>
<a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>
<BR>
</SPAN></FONT></BLOCKQUOTE>
</BODY>
</HTML>