<div dir="ltr"><div>I'm working on the logout token validation for the federated identity
 provider initiated back-channel logout in an identity server. Currently
 I'm using an instance of the same identity server as the federated 
identity provider. The logout token I receive from the idp has an "exp" 
claim in the claim set. According to the <a href="https://openid.net/specs/openid-connect-backchannel-1_0.html#Validation" rel="nofollow noreferrer" target="_blank">OIDC Back-channel Logout Specification</a> under the Security Considerations, it is stated that,
</div><div><div><blockquote>
<p>"OPs are encouraged to use short expiration times in Logout Tokens, 
preferably at most two minutes in the future, to prevent captured Logout
 Tokens from being replayable"</p>
</blockquote>
<p>But in <a href="https://www.rfc-editor.org/rfc/rfc8417.html#section-2.2" rel="nofollow noreferrer" target="_blank">rfc8417</a>, they state that it is <b>not recommended</b> to use an "exp" claim in SETs.</p>
<p>What is the recommendation for having an "exp" claim in the OIDC logout token ?</p></div></div><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><font size="2">Best Regards,<br></font></div><div><font size="2">Thamindu Randil</font></div><div><font size="2">Undergraduate</font></div><div><font size="2"><span style="color:rgb(41,41,52)">Department of Computer Science & Engineering</span></font></div><div><font size="2"><span style="color:rgb(41,41,52)">University of Moratuwa</span></font></div></div></div></div>