<div id="__MailbirdStyleContent" style="font-size: 10pt;font-family: Lucida Console;color: #000000">
                                        
                                        
                                            
                                        
                                        
                                        Currently IdentityServer does not support this, but I did receive a request to return session_state on error given that wording in the sepc.<div><br></div><div>The use case of this customer was they were building a JS/SPA app and used prompt=none. They expected a session_state even on an error of login_required, meaning for an anonymous user. They were going to use the session_state at the check_session_iframe to monitor when the user went from anonymous to authenticated. <div><br></div><div>So to me that's an ancillary question -- is session_state expected to be returned for an anonymous user, which would be for an error response (of login_required)? If so, the the customer's requirements could be satisfied. But on the other hand, that's a bit of a burden on the OP to assign a sid to an anonymous user before they have authenticated. It's possible, but it's just not an obvious thing to do, IMO.</div><div><br></div><div>Any thoughts on this? And sorry of this hijacks your thread, Filip.<br><div><br></div><div class="mb_sig"><span style="font-family: Lucida Console">-Brock</span><div><br></div></div><blockquote class="history_container" type="cite" style="border-left-style:solid;border-width:1px; margin-top:20px; margin-left:0px;padding-left:10px;">
                        <p style="color: #AAAAAA; margin-top: 10px;">On 8/25/2018 5:43:28 AM, Filip Skokan via Openid-specs-ab <openid-specs-ab@lists.openid.net> wrote:</p>New issue 1047: session_state - upon authentication failure?
<br>https://bitbucket.org/openid/connect/issues/1047/session_state-upon-authentication-failure
<br>
<br>Filip Skokan:
<br>
<br>from: https://openid.net/specs/openid-connect-session-1_0.html#rfc.section.3
<br>
<br>> When the OP supports session management, it MUST also return the Session State as an additional session_state parameter in the Authentication Response. The OpenID Connect Authentication Response is specified in Section 3.1.2.5 of OpenID Connect Core 1.0.
<br>
<br>Section 3.1.2.5 of Core 1.0 is `Successful Authentication Response`
<br>
<br>And yet https://openid.net/specs/openid-connect-session-1_0.html#rfc.section.4.1 at the end of the section says
<br>
<br>> Note that the session state is origin bound. **Session state SHOULD be returned upon an authentication failure.**
<br>
<br>Should `session_state` be returned with error responses too?
<br>
<br>
<br>_______________________________________________
<br>Openid-specs-ab mailing list
<br>Openid-specs-ab@lists.openid.net
<br>http://lists.openid.net/mailman/listinfo/openid-specs-ab
<br>
                        </blockquote>
                                        
                                        </div></div></div>