<div dir="ltr">Hello,<div><br></div><div>Hopefully this isn&#39;t a dumb question, but let&#39;s give it a shot. I have a web application (let&#39;s call it Resource Server) which is secured using a MitreID Connect installation (let&#39;s call it Auth Server). It uses the standard &quot;code&quot; flow, and works fine.</div>

<div><br></div><div>I need to allow the user to explicitly log out of the Resource Server. In the RS the user can click a logout button which clears their session and deletes the token. The problem is that if they try to log in again, the Auth Server automatically grants them a new token without asking for credentials, since the user still has an active session with the Auth Server itself.</div>

<div><br></div><div>So my question is this- Is this a security hole? Should the Auth Server be clearing the user&#39;s session upon calls to &quot;/authorize&quot;? I&#39;m happy to take a crack at implementing that (either as an optional feature or as default behavior) but maybe I&#39;m missing something fundamental.</div>

<div><br></div><div>Cheers,</div><div>James</div>







</div>