
<font size=2 face="sans-serif">Perhaps related to this, see my comment


at the end of this open issue:</font>


<br>


<br><a href="https://bitbucket.org/openid/connect/issue/922/session-cleanup-via-back-channel"><font size=2 face="sans-serif">https://bitbucket.org/openid/connect/issue/922/session-cleanup-via-back-channel</font></a>


<br>


<br><font size=2 face="sans-serif">In summary, the suggestion is there


for the case where the RP has been issued multiple id_tokens.<br>


</font>


<br>


<table width=223 style="border-collapse:collapse;">


<tr height=8>


<td width=223 bgcolor=white style="border-style:solid;border-color:#000000;border-width:0px 0px 0px 0px;padding:0px 0px;"><font size=1 face="Verdana"><b><br>


<br>


<br>


Todd Lainhart<br>


Rational software<br>


IBM Corporation<br>


550 King Street, Littleton, MA 01460-1250</b></font><font size=1 face="Arial"><b><br>


1-978-899-4705<br>


2-276-4705 (T/L)<br>


lainhart@us.ibm.com</b></font></table>


<br>


<br>


<br>


<br>


<br><font size=1 color=#5f5f5f face="sans-serif">From:      


 </font><font size=1 face="sans-serif">Mike Jones <Michael.Jones@microsoft.com></font>


<br><font size=1 color=#5f5f5f face="sans-serif">To:      


 </font><font size=1 face="sans-serif">"openid-specs-ab@lists.openid.net"


<openid-specs-ab@lists.openid.net>, </font>


<br><font size=1 color=#5f5f5f face="sans-serif">Date:      


 </font><font size=1 face="sans-serif">06/30/2014 08:47 PM</font>


<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    


   </font><font size=1 face="sans-serif">[Openid-specs-ab]


Possibly using session_state in logout and        prompt=none


requests</font>


<br><font size=1 color=#5f5f5f face="sans-serif">Sent by:    


   </font><font size=1 face="sans-serif">openid-specs-ab-bounces@lists.openid.net</font>


<br>


<hr noshade>


<br>


<br>


<br><font size=2 face="Calibri">Some Microsoft product people have asked


whether session_state could be used in logout requests as an alternative


to using the id_token_hint.  A secondary related ask would be to be


able to use the session_state instead of id_token_hint in prompt=none requests.</font>


<br><font size=2 face="Calibri"> </font>


<br><font size=2 face="Calibri">The logic behind this request is that then


the RP would only need to persist the session_state value and not the id_token


value.</font>


<br><font size=2 face="Calibri"> </font>


<br><font size=2 face="Calibri">It's not clear whether in the general case,


session_state would have sufficient information for this to work.  It


would be good to get a sense what people have in their session_state values


now (which are opaque to the RP).</font>


<br><font size=2 face="Calibri"> </font>


<br><font size=2 face="Calibri">Another possible downside to this is that


since session management is optional, RPs would still have to have code


to persist the id_token for prompt=none requests for OPs that don’t support


session management.</font>


<br><font size=2 face="Calibri"> </font>


<br><font size=2 face="Calibri">Comments?</font>


<br><font size=2 face="Calibri"> </font>


<br><font size=2 face="Calibri">           


        -- Mike</font>


<br><font size=2 face="Calibri"> </font><tt><font size=2>_______________________________________________<br>


Openid-specs-ab mailing list<br>


Openid-specs-ab@lists.openid.net<br>


</font></tt><a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab"><tt><font size=2>http://lists.openid.net/mailman/listinfo/openid-specs-ab</font></tt></a><tt><font size=2><br>


</font></tt>


<br>