Is this new with the latest versions then?&nbsp; As I recall, there was a ticket for one of the libraries just closed that discussed how return_to in the query and the actual request itself <i>did</i> match, but they weren&#39;t the original return_to passed to the OP, so the library rejected it.&nbsp; I think it was the Ruby one that did it (the others didn&#39;t, apparently).<br clear="all">
<br>Andrew Arnott
<br><br><div class="gmail_quote">On Wed, Jun 11, 2008 at 12:02 PM, Jonathan Daugherty &lt;<a href="mailto:cygnus@janrain.com">cygnus@janrain.com</a>&gt; wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">&gt; Now on the note you were originally bringing up, I believe the Janrain<br>
&gt; libraries store the return_to URL value that they are expecting in a session<br>
&gt; variable, so that if the OP doesn&#39;t send back the same return_to URL<br>
&gt; parameter it fires an error (that&#39;s beyond the scope of the spec, but<br>
&gt; anyway).<br>
<br>
</div>All three of the live RP demos actually reconstruct the return_to URL<br>
by looking at the request itself. &nbsp;The return_to is not stored in any<br>
session state. &nbsp;However, the effect should be the same.<br>
<br>
--<br>
<font color="#888888">&nbsp;Jonathan Daugherty<br>
</font><div><div></div><div class="Wj3C7c"><br>
_______________________________________________<br>
Dev mailing list<br>
<a href="mailto:Dev@lists.openidenabled.com">Dev@lists.openidenabled.com</a><br>
<a href="http://lists.openidenabled.com/mailman/listinfo/dev" target="_blank">http://lists.openidenabled.com/mailman/listinfo/dev</a><br>
</div></div></blockquote></div><br>