
<div dir="ltr">Register onload events for the child iframes, and fire your redirect once you have confidence or have given up.<div><br></div><div>-cmort</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 12, 2015 at 2:32 PM, Mike Schwartz <span dir="ltr"><<a href="mailto:mike@gluu.org" target="_blank">mike@gluu.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Justin,<br>

<br>

Let's say we redirect with Javascript right after the page loads. The iframe is detached from the parent html, so how do we know if the iframe started to load before we redirect?<br>

<br>

Overloading one endpoint with lots of features seems complex.<br>

What was the reason for this design?<span class="HOEnZb"><font color="#888888"><br>

<br>

- Mike</font></span><span class="im HOEnZb"><br>

<br>

<br>

<br>

On 2015-11-12 10:49, Justin Richer wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

What's confusing about the current setup?<br>

<br>

1) RP sends the user to the IdP's "end_session_endpoint" in the browser.<br>

<br>

2) IdP loads a page there that includes IFrames to every active RP's<br>

"logout_uri".<br>

<br>

3) IdP then sends a redirect to the original requesting RP's<br>

"post_logout_redirect_uri".<br>

<br>

There's nothing in the spec that even hints that the<br>

"end_session_endpoint" page not be rendered, as you hint below. In<br>

fact, the specs speak of multiple interactions including prompting the<br>

user for logout, which would require rendering a page.<br>

<br>

In the end, you're about to invent something that already exists, but<br>

do so under a different name so that your software isn't compatible<br>

with anyone else's. I wouldn't recommend that approach.<br>

<br>

 -- Justin<br>

<br>

On 11/12/2015 10:07 AM, Mike Schwartz wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Mike Jones,<br>

<br>

Sorry, this makes no sense to us. We added a new OP Discovery param "end_session_page" and are proceeding with that because your solution is unworkable.<br>

<br>

end_session_endpoint has a post_logout_redirect_uri parameter. This endpoint must send a redirect response to the post_logout_redirect_uri after logout and NOT return page (with iframe).<br>

<br>

- Mike Schwartz<br>

<br>

<br>

</blockquote></blockquote></span><div class="HOEnZb"><div class="h5">

_______________________________________________<br>

Openid-specs-ab mailing list<br>

<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>

<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>

</div></div></blockquote></div><br></div>