<HTML>
<HEAD>
<TITLE>Re: [OpenID] What about Logout?</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>I&#8217;m not familiar with &#8220;Session Sync&#8221;, but it sounds like you&#8217;re asking if Facebook contacts each of the RPs to tell them that the user is now logged out?<BR>
<BR>
The answer is no &#8211; on logout, Facebook just deletes its Facebook cookies. It&#8217;s up the RPs (applications, in our terminology) to check with Facebook at their next convenience. In practice this means that there&#8217;s usually a lag of about one page load. This isn&#8217;t great, but it&#8217;s a reasonable compromise for the user experience.<BR>
<BR>
On 4/8/09 12:14 PM, &quot;Martin Atkins&quot; &lt;<a href="mart@degeneration.co.uk">mart@degeneration.co.uk</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
Am I right in thinking that in Facebook Connect's case this works with<BR>
the &quot;Session Sync&quot; functionality so that once you log out of Facebook<BR>
you're immediately logged out of sites that make use of session sync?<BR>
<BR>
In order to do this effectively with OpenID we'd need an equivalent<BR>
Session Sync system.<BR>
<BR>
Luke Shepard wrote:<BR>
&gt; I agree, logout seems to be more and more important for a full single<BR>
&gt; sign-on / sign-out experience. We found with Facebook Connect that we<BR>
&gt; had to offer RPs the ability to log the user out of Facebook, for<BR>
&gt; consistency.<BR>
&gt;<BR>
&gt; Consider this: the user goes to the RP, clicks the &#8220;login&#8221; button, and<BR>
&gt; then a popup comes up onto their OP. The user happily enters their<BR>
&gt; credentials, popup closes, and they&#8217;re in. Great! Then they hit &#8220;logout&#8221;<BR>
&gt; on the site they&#8217;re on, and go on their way. But if this is a shared<BR>
&gt; terminal, then they still have a cookie onto their OP, which leaves them<BR>
&gt; exposed. A better solution would be to let the RP log them out of their<BR>
&gt; provider.<BR>
&gt;<BR>
&gt; There are workarounds, some of which were suggested by Allen in previous<BR>
&gt; threads &#8211; for instance, having a short cookie timeout, trying to detect<BR>
&gt; recent activity, etc, but none are quite as clean as a solid logout trick.<BR>
&gt;<BR>
&gt; I think it would be relatively easy to add to the next spec. We could<BR>
&gt; add an additional mode or two - say, &#8220;logout_setup&#8221; or<BR>
&gt; &#8220;logout_immediate&#8221;. They would be behave the same as checkid_immediate<BR>
&gt; and checkid_setup, except in reverse &#8211; the RP must supply the correct<BR>
&gt; user credentials, and the OP can then log them out and return only<BR>
&gt; &#8220;success&#8221; or &#8220;failure&#8221;.<BR>
&gt;<BR>
&gt;<BR>
&gt; On 4/8/09 7:05 AM, &quot;Santosh Rajan&quot; &lt;<a href="santrajan@gmail.com">santrajan@gmail.com</a>&gt; wrote:<BR>
&gt;<BR>
&gt;<BR>
&gt;<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;If an RP wants to logout the user not only from his site, but also<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;from the<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;OP, there is no easy way for him to do it. Currently it is a pain.<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;He needs<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;to figure how to log out from each OP himself, while most OP's<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;havent even<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;documented this.<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;Eg. This is the Google Logout URL.<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;<a href="https://www.google.com/accounts/Logout">https://www.google.com/accounts/Logout</a><BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;This is Yahoo's undocumented Logout URL.<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;<a href="https://login.yahoo.com/config/login?logout=1">https://login.yahoo.com/config/login?logout=1</a><BR>
&gt;<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;Maybe we need to address this in 2.1? Like the OP may provide the<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;Logout URL<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;in the discovery itself along with the endpoint URL?<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;--<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;View this message in context:<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;<a href="http://www.nabble.com/What-about-Logout--tp22951181p22951181.html">http://www.nabble.com/What-about-Logout--tp22951181p22951181.html</a><BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;Sent from the OpenID - General mailing list archive at Nabble.com.<BR>
&gt;<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;_______________________________________________<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;general mailing list<BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;<a href="general@openid.net">general@openid.net</a><BR>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;<a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>
&gt;<BR>
&gt;<BR>
&gt; ------------------------------------------------------------------------<BR>
&gt;<BR>
&gt; _______________________________________________<BR>
&gt; general mailing list<BR>
&gt; <a href="general@openid.net">general@openid.net</a><BR>
&gt; <a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>
<BR>
_______________________________________________<BR>
general mailing list<BR>
<a href="general@openid.net">general@openid.net</a><BR>
<a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>
<BR>
</SPAN></FONT></BLOCKQUOTE>
</BODY>
</HTML>