Help us understand the problem. What is going on with this article?

OpenID Connect Back-Channel Logout 1.0 ざっくりまとめ

OpenID Connectでバックエンド間の通信でシングルサインアウトをするための仕様である OpenID Connect Back-Channel Logout 1.0 - draft 04 のざっくりまとめ

ログアウトの流れ

  • (OPはログインを実施したRPをCookie等で記録しておく。)

  • OPはLogout Token(ログアウト要求の情報を含むJWT)をログインしたRPに送信する。

    • ログアウト対象はLogout Tokenの sub(サブジェクトID)もしくは sid(セッションID)に指定する。(両方指定してもよい)
    • Logoutトークンはapplication/x-www-form-urlencoded形式で logout_token パラメータに指定し、POSTメソッドで送信する。
  • RPは受け取ったLogout Tokenを検証して、Logout Tokenで指定されたセッションを無効化する。

    • ログアウトに成功した場合はステータスコード 200 、失敗した場合は 400 を返却する。

その他

  • ログアウト時にはoffline_accessプロパティのないリフレッシュトークンも無効化すべきとされている。
  • Back-Channel LogoutはOpenID Connect Session Management 1.0のRP-Initiated Logout と組み合わせることもできる。(ユーザーがRPでログアウト実施 → OPが他のRPにBack-Channelでログアウト依頼 という流れ)
Why do not you register as a user and use Qiita more conveniently?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away