在OpenID Connect Session (draft 23 at the time of the question)中,它声明了
在注销端点,OP应该询问最终用户是否也想退出OP。如果最终用户说"是",那么OP必须注销最终用户。
因此,如果用户点击是,那么我们仍然处于OP领域,我们可能会将它们带回欢迎屏幕。但是,如果用户点击"否"行为没有定义。
我猜它会是这样的:
- 让
state成为用户在RP应用程序上按下注销按钮之前所知的最后一页。
- 注销RP将使用令牌撤销端点销毁用户对OP的任何凭据(如果RP需要重新发送)
- 然后它将重定向到通过
state 的end_session_endpoint
- 一旦到达OP end_session_endpoint,用户就会选择" no"
- 然后用户未登出OP。
- 然后将用户重定向回post_logout_redirect_uri并显示已通过的状态。
- 然后RP上的post_redirect_uri会将用户重定向回带状态的authentication_endpoint
- 由于用户仍然在OP中登录并且假设同意仍然存在,它应该将用户重定向回RP回调状态,就像用户没有离开应用程序一样,但是全新的现在设置id_token
为了防止重定向循环,RP应确保在不再存在的情况下注销不需要有效身份。否则会有一个重定向循环。