<div dir="ltr"><div>Hello Vladimir,</div><div><br></div><div>The OP is advised to render a prompt for the end-user in those cases where post_logout_redirect_uri is not provided. And there's no mention of ignoring theĀ <span style="font-size:small;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">post_logout_redirect_uri param if id_token_hint is missing.</span></div><div><br></div><div>Currently:</div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">post_logout_redirect_uri<br>OPTIONAL. URL to which the RP is requesting that the End-User's User Agent be redirected after a logout has been performed. The value MUST have been previously registered with the OP, either using the post_logout_redirect_uris Registration parameter or via another mechanism. If supplied, the OP SHOULD honor this request following the logout.</blockquote><div><br></div><div><span style="font-size:small;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">No mention of ignoring the value if id_token_hint is not provided.</span></div></div><div><br></div><div>and under security considerations, the advise to prompt.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The id_token_hint parameter to a logout request can be used to determine which RP initiated the logout request. Logout requests without a valid id_token_hint value are a potential means of denial of service; therefore, OPs may want to require explicit user confirmation before acting upon them.</blockquote><div><br></div><div>Supplying a client_id does not change a potential extra OP policy that id_token_hint must be provided if it choses to do so, it simply makes post_logout_redirect_uri lookup possible in cases where loading all uris or clients into memory is not possible/is inefficient or can't query for all valid uris for the same reasons.</div><br clear="all"><div><div dir="ltr" class="gmail_signature">Best,<br><b>Filip</b></div></div><br></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Jul 20, 2018 at 1:01 PM Vladimir Dzhuvinov via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Filip,<br>
<br>
My concern is that relying on the client_id opens up post logout<br>
redirection to potential misuse.<br>
<br>
IMO the OP shouldn't be picking any redirections if cannot be sure, to a<br>
satisfactory degree, that it's the legitimate RP making the call.<br>
<br>
The ID token isn't really a substitute for proper RP authentication, but<br>
it's some way towards that.<br>
<br>
A JWS request might help here, but it's probably too much to ask from RPs.<br>
<br>
Vladimir<br>
<br>
<br>
On 20/07/18 11:10, Filip Skokan via Openid-specs-ab wrote:<br>
> New issue 1032: rp-initiated logout - proposal for client_id parameter<br>
> <a href="https://bitbucket.org/openid/connect/issues/1032/rp-initiated-logout-proposal-for-client_id" rel="noreferrer" target="_blank">https://bitbucket.org/openid/connect/issues/1032/rp-initiated-logout-proposal-for-client_id</a><br>
><br>
> Filip Skokan:<br>
><br>
> I'd like to request that a parameter (optional or required?) client_id is defined for rp-initiated logout request.<br>
><br>
> rationale:<br>
><br>
> Currently the id_token_hint is the only way of identifying the client that's making the request. In scenarios where a client does not yet have an id_token but makes a request to authenticate which fails (e.g. due to being requested with essential sub claim through claims) the next step will be to trigger an rp initiated logout with a registered post_logout_redirect_uri but without an id_token_hint. This can be problematic for OP deployments with a high number of clients as it is not efficient or sometimes even not possible to iterate over all of them to see if this post_logout_redirect_uri is whitelisted or not. Hence the client_id parameter to make this lookup possible and efficient.<br>
><br>
> Further processing may be defined such as if both client_id and id_token_hint are provided the audience of the id_token_hint must include the client_id etc.<br>
><br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div>