I RP POSSONO instaurare sessioni individuali relative agli utenti autenticati. Nei casi in cui tali sessioni individuali vengano instaurate dai RP, questi ultimi DEVONO fornire agli utenti una funzionalità di logout con lo scopo di eliminare la sessione individuale instaurata. Durante la fase di logout i RP DEVONO revocare tutti gli Access Token ancora attivi e collegati all'autenticazione degli utenti, tramite l'utilizzo del revocation endpoint (Revocation Endpoint).