<div dir="ltr">Hello everyone,<div><br></div><div>I have a question regarding the following statement in the <a href="https://openid.net/specs/openid-connect-backchannel-1_0.html#LogoutToken">section 2.4</a> of the spec. </div><div><br></div><div><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif">"A Logout Token MUST contain either a </span><tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">sub</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> or a </span><tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">sid</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> Claim, and MAY contain both. If a </span><tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">sid</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> Claim is not present, the intent is that all sessions at the RP for the End-User identified by the </span><tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">iss</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> and </span><tt style="color:rgb(0,51,102);font-family:"Courier New",Courier,monospace">sub</tt><span style="color:rgb(0,0,0);font-family:verdana,charcoal,helvetica,arial,sans-serif"> Claims be logged out.</span> " <br></div><div><br></div><div>What is the intended situation when sid is not send in the Logout Token? is it intended that OP logout only one session (identified by a sid), but it's instructing it's RPs to kill all sessions for that user? Or is it intended that OP kills all sessions for that user and instructing RPs to do the same?<br></div><div><br></div><div>Thanks & regards,</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Suresh<br></div></div></div></div></div>