Согласно https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-openid-connect-code#send-a-sign-out-request:
Если вы хотите вывести пользователя из приложения, недостаточно
очистить куки вашего приложения или иным образом завершить сеанс с пользователем.
Вы также должны перенаправить пользователя на end_session_endpoint для
выход. Если вы не сделаете этого, пользователь сможет
повторно аутентифицироваться в вашем приложении, не вводя их учетные данные снова,
потому что у них будет действительный сеанс единого входа в Azure
Конечная точка AD.
Итак, мой вопрос довольно прост: если приложение очистило все локальные состояния, а затем, когда приложение снова войдет в систему, что скажет Azure AD, что существует допустимый сеанс единой регистрации? Там нет файла cookie, и вы не отправляете в URL-адрес что-либо, указывающее на сеанс входа, так что Azure AD использует для определения этого в приведенном сценарии?