<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I'm referring to <i>OpenID Connect Session Management 1.0 - draft 03.</i><div><a href="http://openid.net/specs/openid-connect-session-1_0.html">http://openid.net/specs/openid-connect-session-1_0.html</a><br><div><br></div><div>What is the refresh session meant to do? What does it mean to refresh an expired ID Token? The only content of the definition of this service, beyond description of the request and response, is: 'A new ID Token is returned.'</div><div><br></div><div>No processing instructions for the provider is included.</div><div><br></div><div>What kind of error codes can be used?</div><div>When should it trow an error?</div><div>Should it require the same user to be logged in?</div><div>What kind of validation should it perform on the incomming ID Token?</div><div>What kind of validation should the client perform on the response?</div><div><br></div><div>The section does not even include normative information about whether the request is a POST or a GET.</div><div><br></div><div><br></div><div>If this service is meant to be used, when the session times out at the RP and the user is supposed to get an updated session or login again, why isn't the client advises to just use the authorization service? That endpoint is much more powerful.</div></div><div><br></div><div><br></div><div>Section 3.3 says:</div><div><br></div><div><blockquote type="cite">If an ID Token is obtained by submitting a refresh token at the access token endpoint, then the resulting ID Token is not bound to a user's sign in state at the authorization server. The client may be in offline mode or the user has logged out from the authorization server. If a session bound ID Token is desired, the client should obtain a new ID Token by sending a request to the refresh session endpoint.</blockquote><br></div><div>What are the use cases for having a ID Token that is not syncronized with a session at the authorization server? If there is no use case for it I suggest we drop it.</div><div><br></div><div>I'm really struggling with understanding the semantics of a valid ID Token (and the claims within) issued by the authorization server representing a session that is no longer active at the authorization server.</div><div><br></div><div>Why would the client need it? What would it mean that it is issued? What are the semantics of the validity window? What would it mean if the provider restricted to issue it?</div><div><br></div><div>Andreas</div><div><br></div></body></html>