<HTML><BODY><div><div><br>Vladimir, thanks for your response!</div><blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;"><div id=""><div class="js-helper js-readmsg-msg"><div><div id="style_16043407371260754340_BODY">My suggestion is to only act on iss & sid being present, because<br>otherwise you can't really tell where the request is coming from. And<br>there is no CSRF or user confirmation that can be invoked.</div></div></div></div></blockquote></div><div>I’m just wondering if it should be considered as a potential security or usability issue and therefore be mentioned in the security consideration section of the specification or somewhere else.</div><div><blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;"><div><div class="js-helper js-readmsg-msg"><div><div>Front-channel logout is per definition unreliable. OPs that silently<br>expire a user's session, for example, will have no way to notify the RP.<br>The front-channel notification can only work when the end-user is at the<br>OP and chooses to log out there, or the OP is open in some browser tab<br>and the expiration happens.</div></div></div></div></blockquote></div><div>Actually it reminds me of a previous logout draft which suggested the RP session lifetime could be based on the ID token expiration time. This seems to have been removed since, but as an implementer I couldn’t find any guidance in the specifications on 1) ID token validity duration (a few seconds, enough to open a session on the RP, or the intended duration of the user’s session?) 2) RP session lifetime after «opening» an authenticated session upon ID token validation (1 hour? 2 hours? session cookie?). But I might have missed something and this would be a topic for another thread probably :)</div><div><blockquote style="border-left:1px solid #0857A6; margin:10px; padding:0 0 0 10px;"><div><div class="js-helper js-readmsg-msg"><div><div>> - if the RP can have several sessions opened from different OPs, how<br>> can the RP know which OP to logout from? For now I’m sticking to a<br>> «kill all sessions» approach, but it’s not satisfying<br><br>You can trying registering a per OP frontchannel_logout_uri. But again,<br>insist on registering the RP for receiving the iss & sid.</div></div></div></div></blockquote><div>Indeed, having frontchannel logout without iss & sid disabled by default seems the way to go.</div><div> </div><div>--<br>Tangui</div><div> </div></div></BODY></HTML>