<font size=2 face="sans-serif">I think that I raised this in last Monday's
call, and John countered, but I'm not remembering the details of his counter.
 Perhaps something to do with post_logout_redirect_uri registrations
and exact match, and the expectation that the RP will just show a logout
page.</font>
<br>
<br><font size=2 face="sans-serif">In discussing this with a colleague,
we're considering augmenting our implementation to say that the RP can
pass in a state parm that will be returned to the RP in the post_logout_redirect_uri
callback.  The scenario he describes is the following: </font>
<br>
<br><font size=2 face="sans-serif">"When you have a "Sign Out"
button on the banner of all your resource server's unprotected and protected
web pages, the user might want to return to the page after signing out.
This is not possible currently.  A state parameter passed to the end
session endpoint and passed back as a parameter to the post_logout_redirect_uri
would make this possible."</font>
<br>
<br><font size=2 face="sans-serif">The presumption is that the RP is encoding
a return URI in this value, similar to guidance given in the authorization
code flow.</font>
<br>
<br><font size=2 face="sans-serif">Can anyone see a problem to this approach,
and if not, does it make sense to augment Section 5 of the mgmt. spec?<br>
</font>
<br>
<table width=223 style="border-collapse:collapse;">
<tr height=8>
<td width=223 bgcolor=white style="border-style:solid;border-color:#000000;border-width:0px 0px 0px 0px;padding:0px 0px;"><font size=1 face="Verdana"><b><br>
<br>
<br>
Todd Lainhart<br>
Rational software<br>
IBM Corporation<br>
550 King Street, Littleton, MA 01460-1250</b></font><font size=1 face="Arial"><b><br>
1-978-899-4705<br>
2-276-4705 (T/L)<br>
lainhart@us.ibm.com</b></font></table>
<br>