<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><blockquote type="cite"><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 11pt; -webkit-text-size-adjust: auto;">Post-logout redirection <b>should only happen to RPs that have recently been logged in</b> </span><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 11pt; -webkit-text-size-adjust: auto;">and to registered post_logout_redirect_uri values</span></blockquote><div><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); font-family: Calibri, sans-serif; font-size: 11pt; -webkit-text-size-adjust: auto;"><br></span></div><div><font color="#000000" face="Calibri, sans-serif"><span style="caret-color: rgb(0, 0, 0); font-size: 14.666666984558105px; -webkit-text-size-adjust: auto;">Where do we state such requirement or sentiment? If we’ll be adding hints that are carried by an id token that a client didn’t keep we should accomodate all use cases, that includes making sure post logout redirection is actionable. There’s an end user prompt involved anyway so what’s the harm?</span></font></div><div><br><div dir="ltr">Odesláno z iPhonu</div><div dir="ltr"><br><blockquote type="cite">27. 8. 2020 v 20:14, Mike Jones via Openid-specs-ab <openid-specs-ab@lists.openid.net>:<br><br></blockquote></div></div></body></html>