<div><div dir="auto">Isn’t this the motivation for the user info endpoint?</div></div><div><br><div class="gmail_quote"><div dir="ltr">On Sat, Nov 3, 2018 at 9:53 PM Rasitha Wijesinghe via Openid-specs-ab <<a href="mailto:openid-specs-ab@lists.openid.net">openid-specs-ab@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">New issue 1056: Use of id_token in RP-Initiated Logout as the id_token_hint<br>
<a href="https://bitbucket.org/openid/connect/issues/1056/use-of-id_token-in-rp-initiated-logout-as" rel="noreferrer" target="_blank">https://bitbucket.org/openid/connect/issues/1056/use-of-id_token-in-rp-initiated-logout-as</a><br>
<br>
Rasitha Wijesinghe:<br>
<br>
Re: <a href="https://openid.net/specs/openid-connect-session-1_0.html#RPLogout" rel="noreferrer" target="_blank">https://openid.net/specs/openid-connect-session-1_0.html#RPLogout</a><br>
<br>
Current spec recommends using id_token in the RP-initiated logout as the id_token_hint but there are two issues with this approach:<br>
<br>
1. When an id_token contains additional claims, the size of the id_token becomes too big for a URL query parameter and can run into logout issues. This is esp. an issue when id_token includes role claims in an enterprise Active Directory environment.<br>
<br>
2. id_token can contain sensitive information about the user such as name, email, phone. Because it is used as a GET query parameter, the value can be easily extracted by a middle party as well as gets logged in a standard logging configuration.<br>
<br>
Is there a way to recommend using a different value for this? The reason for using id_token_hint makes sense but does the value have to be the id_token itself? Can the OP issue some other value (within the id_token) at sign-in time that can be used as the logout id_token_hint? Then OP can still verify the logout request in a secure manner. <br>
<br>
 Thanks!<br>
<br>
<br>
_______________________________________________<br>
Openid-specs-ab mailing list<br>
<a href="mailto:Openid-specs-ab@lists.openid.net" target="_blank">Openid-specs-ab@lists.openid.net</a><br>
<a href="http://lists.openid.net/mailman/listinfo/openid-specs-ab" rel="noreferrer" target="_blank">http://lists.openid.net/mailman/listinfo/openid-specs-ab</a><br>
</blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><br>-Brock<br><br></div>