<div dir="ltr">Hi all,<div><br></div><div>We have a requirement for using encrypted_id_token which is signed using the application's certificate. But we have some issues when using encrypted_id_tokens during OIDC logout. </div><div>. </div><div>Use Case is the following.</div><div><br></div><div>1.  An application is using encrypted id_token  due to security measures. This id_token is encrypted using the application's certificate.</div><div>2.  Once log out from the application it needs to redirect the user to end application</div><div>3.  To achieve 2; the application must send the plain text id_token as id_token_hint.  Because the IDP is using td_token to identify the application. </div><div><br></div><div>We could find the following possible solutions</div><div><br></div><div><font face="arial, sans-serif">1. Make  id_token_hint is not required to redirect to the application. But we use id_token_hint to identify the RP-initiated-logout. From the id_token_hint, we derive the client_id. What is the best approach to identify the client during logout?</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">2. Ask from application to encrypt the decrypted token from idp-certificate. Then in the logout flow, idp decrypts & verifies the token.  This adds more overhead for application well.</font></div><div><font face="arial, sans-serif"><br></font></div><div><font face="arial, sans-serif">Any thoughts on how to handle encrypted id_token_hint for OIDC logout? </font></div><div><font face="arial, sans-serif"><br></font></div><div><div><div><font color="#000000" face="arial, sans-serif">Appreciate your suggestions on this.</font></div><div><font color="#000000" face="arial, sans-serif"><br></font></div><div><div><font face="arial, sans-serif">Thank you for your time,</font></div></div></div><div><font face="arial, sans-serif">Piraveena</font></div></div>-- <br><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="color:rgb(0,0,0);font-family:"Helvetica Neue","Segoe UI",Helvetica,Arial,"Lucida Grande",sans-serif;font-size:13px"><b>Piraveena Paralogarajah</b></div><div style="color:rgb(0,0,0);font-family:"Helvetica Neue","Segoe UI",Helvetica,Arial,"Lucida Grande",sans-serif;font-size:13px"><br></div><div style="color:rgb(0,0,0);font-family:"Helvetica Neue","Segoe UI",Helvetica,Arial,"Lucida Grande",sans-serif"><font size="1"><b>Blog:</b> <a href="https://medium.com/@piraveenaparalogarajah" target="_blank">https://medium.com/@piraveenaparalogarajah</a></font></div><div style="color:rgb(0,0,0);font-family:"Helvetica Neue","Segoe UI",Helvetica,Arial,"Lucida Grande",sans-serif"><font size="1"><b>LinkedIn</b>:<a href="https://www.linkedin.com/in/piraveena-paralogarajah" target="_blank"> https://www.linkedin.com/in/piraveena-paralogarajah</a></font></div><div style="color:rgb(0,0,0);font-family:"Helvetica Neue","Segoe UI",Helvetica,Arial,"Lucida Grande",sans-serif"><font size="1"><span></span><span></span><br></font></div></div></div></div></div></div></div></div></div>