MVC4サイト(Googleのみ)で動作する非常に単純なDotNetOpenAuth実装があります。OpenIdプロバイダでサインアウトすると、私はRPで認証されたままです。
私はGoogleを使用して自分のサイトにログインしてから(2)Googleからログアウトすると、自分のサイトでまだ認証されたままです。
これは仕様です。私はOpenIdには新しく、ちょっと混乱しています。確かに、ユーザーは、Googleからサインアウトして関連するすべてのOpenIdセッションを終了することを期待していますか?
これは仕様です。
はい。
他のウェブサイトがユーザーがGmailからログアウトしたときにセッション状態を変更することができれば、ウェブサイトの混乱を招くことになります(この例)。あなたがセッションからuser_idを必要とするDB/SQL更新スクリプトを実行することの途中で、ユーザーがただちにgmailアカウントからログアウトしたので突然それがない場合はどうでしょうか?あなたはどこにでもスクリプトが落ちるでしょう。 2つのgmailアカウントを持ち、1つのアカウントからログアウトして他のアカウントのメールをチェックするとどうなるでしょうか? Bam、他のすべてのサイトからログアウトしました。私はそう思わない:-)
サードパーティのクレデンシャルプロバイダを使用してユーザーがサイトに「ログイン」した場合でも、両方のサイトからログアウトすることは、依然としてユーザーの責任です。