使其他用户的会话无效

Question

我创建了一个 asp.net 站点，它使用 Session 对象来存储每个登录用户的信息。为了检查用户是否仍然登录，我检查会话中是否存在某个对象。

系统使用Jasig CAS认证，单点登录部分工作正常（如：登录后，用户的Session对象被正确设置）。

CAS 还支持单点登录。发生这种情况的方式是 CAS 调用我网站上的 url，并带有一些有关 CAS 会话的参数。

我现在需要做的是使指定用户的所有 Session 对象无效。

如何从我网站上的页面使随机其他用户的 Session 对象无效？是否有一个我可以清除的数据库，是否全部都在内存中（如果我知道要查找什么，我可以查看 web.config）？

我以前见过这个问题，大多数答案是“在会话全局变量旁边保留一个全局变量，并检查该变量以查看用户是否应该注销”，但我不喜欢这样解决方案...

干杯！

Answer 1

该会话在设计上是对个人用户私有的。因此，要放弃它，必须由用户来完成。

所以你可能不得不使用另一个列表 &检查一下。

但理想情况下，您不应将身份验证状态与会话联系起来。用户是否经过身份验证应该是独立的。然后，您可以通过查询身份验证状态来选择放弃会话。它还可以更轻松地实现诸如对登录用户进行计数等机制。确保仅从 1 个位置登录 - 如果您需要这些。