<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">I think the proposal was to re-use the session_state parameter that the IdP sets in the initial response and is subsequently used by the client in session management API calls to prevent third parties from making API calls and leaking info.  <div><br></div><div>That would be completely different from RP state sent as part of the logout request.   </div><div><br></div><div>I think two things are being confused into the "state" conversation.</div><div><br></div><div>John B.</div><div><br><div><div>On Jul 1, 2014, at 8:35 AM, Thomas Broyer <<a href="mailto:t.broyer@gmail.com">t.broyer@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">That makes sense. Particularly given that all post_logout_redirect_uri should be pre-registered and are compared byte-for-byte, leaving no place to, e.g., add query-string arguments to customize the behavior upon redirection. So yes, there should be a 'state' parameter.<div>

<br></div><div>I'm going to add it to our implementation ASAP.</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Jul 1, 2014 at 2:31 AM, Mike Jones <span dir="ltr"><<a href="mailto:Michael.Jones@microsoft.com" target="_blank">Michael.Jones@microsoft.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div><p class="MsoNormal">Some Microsoft product people have requested an optional “<tt><span style="font-size:12.0pt">state</span></tt>” parameter for RP-initiated logout requests.  Like the OAuth “<tt><span style="font-size:12.0pt">state</span></tt>” parameter
 this would be passed to the <tt><span lang="EN" style="font-size:12.0pt">end_session_endpoint</span></tt> as an optional query parameter, and if present, would be passed back with the same value to the
<tt><span style="font-size:12.0pt">post_logout_redirect_uri</span></tt> endpoint.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">What do people think of this proposal?<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">RP-initiated logout is defined at <a href="http://openid.net/specs/openid-connect-session-1_0.html#RPLogout" target="_blank">
http://openid.net/specs/openid-connect-session-1_0.html#RPLogout</a>.<span class="HOEnZb"><font color="#888888"><u></u><u></u></font></span></p><span class="HOEnZb"><font color="#888888"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">                                                                -- Mike<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p>
</font></span></div>
</div>

<br>_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Thomas Broyer<br>/t<a href="http://xn--nna.ma.xn--bwa-xxb.je/">ɔ.ma.bʁwa.je/</a>
</div>
_______________________________________________<br>Openid-specs-ab mailing list<br><a href="mailto:Openid-specs-ab@lists.openid.net">Openid-specs-ab@lists.openid.net</a><br>http://lists.openid.net/mailman/listinfo/openid-specs-ab<br></blockquote></div><br></div></body></html>