<div dir="ltr"><div>I had a discussion with Mike, John and Nat about event JWT formats at IETF95, specifically as they relate to the Back-Channel Logout spec.</div><div><br></div><div>Here is an example of what the Back-Channel Logout Token could look like with an extensible event treatment:</div><div><br></div><div>  {</div><div>      "iss": "<a href="https://server.example.com">https://server.example.com</a>",</div><div>      "aud": "s6BhdRkqt3",</div><div>      "jti": "3d0c3cf797584bd193bd0fb1bd4e7d30",</div><div>      "sub": "248289761001",</div><div>      "iat": 1458668180,</div><div>      "exp": 1458668580,</div><div>      "events": [</div><div>          "<a href="https://specs.openid.net/logout">https://specs.openid.net/logout</a>"</div><div>      ],</div><div>      "<a href="https://specs.openid.net/logout">https://specs.openid.net/logout</a>": {</div><div>          "sid": "08a5019c-17e1-4977-8f42-65a12843ea02"</div><div>      }</div><div>  }</div><div><br></div><div>The proposed change is replacing the "logout_only" claim in the <a href="http://openid.net/specs/openid-connect-backchannel-1_0.html#LogoutToken">current draft</a> with an "events" claim, a list of event type URI references. Each of these event type URIs is also a claim of its own, containing the event-specific attributes. The Back-Channel Logout spec would register just 1 event type: "<a href="https://specs.openid.net/logout">https://specs.openid.net/logout</a>", and the "sid" attribute would move to the logout attribute group.</div><div><br></div></div>