<div dir="ltr">Hi,<div><br></div><div>There doesn't seem to be anything in OpenID Discovery related to the Revocation Endpoint as defined by RFC 7009.</div><div><br></div><div>It looks to me like a standard sign-out mechanism in a RP would be to:</div>

<div>1. revoke all tokens for the user</div><div>2. invalidate the session (javax.servlet.http.HttpSession#invalidate(), PHP's session_destroy, or any similar mechanism; along with any other processing needed by the RP)</div>

<div>3. redirect to the end_session_endpoint</div><div><br></div><div>Currenly, we can discover the end_session_endpoint, but not the token revocation endpoint.</div><div><br></div><div>Is this a known limitation? Is it intentional?</div>

<div>If not, should I open an issue?<br clear="all"><div><br></div>-- <br>Thomas Broyer<br>/t<a href="http://xn--nna.ma.xn--bwa-xxb.je/">ɔ.ma.bʁwa.je/</a>
</div></div>