在春季安全中注销特定会话ID

Question

在春季安全：
我认为使用两种方式注销：发生会话超时或用户注销本身时...
无论如何，以这些方式，在HttpSessionEventPublisher 和SessionRegistry 中调用destroySession，从sessionIds 列表中删除SessionInformation...

当我使用以下方法强制注销特定用户时，此方法只是在 SessionRegistry 中“过期”SessionInformation。现在，当我从SessionRegistry 获取所有在线用户“getAllPrincipals()”时，会话过期的用户在列表中！

@Override
public  boolean forceLogOut(int userId){
    for (Object username: sessionRegistry.getAllPrincipals()) {
        User temp = (User) username;
        if(temp.getId().equals(userId)){
            for (SessionInformation session : sessionRegistry.getAllSessions(username, false)) {
                session.expireNow();
            }
        }
    }
    return true;
}

如何从“Web 服务器”和“会话注册表”中注销会话对象的“特定用户”或“会话 ID”？
我在谷歌上搜索并在 Servlet API 中找到了HttpSessionContext，它可以从特定的 sessionId 获取 HttpSession。然后使会话无效。但我认为这种方法并不完全有用！
（注意。这个类已被弃用！）

什么是最好的方法？是不是我错了？

Answer 1

试试这样：

@RequestMapping(value="/logout", method = RequestMethod.GET)
    public String logoutPage (HttpServletRequest request, HttpServletResponse response){
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){    
            //new SecurityContextLogoutHandler().logout(request, response, auth);
            persistentTokenBasedRememberMeServices.logout(request, response, auth);
            SecurityContextHolder.getContext().setAuthentication(null);
        }
        return "redirect:/login?logout";
    }

要注销特定会话 ID，请检查该链接： how to log a user out programmatically using spring security