是否使Domino HTTP会话失效/丢弃？

据我所知，不可能使特定（或多个，例如，基于用户名的）DominoHTTP会话失效或删除（）是否存在/有什么合适的解决方法/机制可以以某种方式删除/使Domino HTTP会话无效？

一些例子可以是：

• 同一用户，两个会话，在其中一个会话中，用户更改HTTP密码（此时所有其他会话应立即失效）。如果他/她继续在另一个（浏览器）会话中工作/浏览（在某个时刻），您将在控制台上收到“使用internet密码验证失败”消息，如果您运气不好，用户将被锁定
• 脸谱风格；概述您当前的活动会话。更进一步，如果他们看到一个基于IP/位置的可疑会话，让他们控制使其失效
• 客户打电话；“我感觉我的会话被劫持了”。。第一反应；“你是个聪明的用户，不是吗？”。随后，您希望删除具有该用户名的会话（通过控制台或“管理员”web界面）

---

您必须控制身份验证过程，这可以使用Notes C API文档中描述的DSAPI接口来完成。我自己只做过一些非常简单的DSAPI工作，但我从其他广泛使用过它的人那里了解到，DSAPI的高级工作绝对不适合胆小的人。您可能希望了解一些第三方产品（例如PistolStar），这些产品至少可以提供您所需的部分功能。
您尝试了哪些功能，哪些功能不适合您？对于XPages，您可以使用自定义PhaseListener（请参见或）作为示例。您还需要参考，这样您就可以准确地知道何时要进行检查。谢谢您的评论。我们确实可以将用户名和初始化的SessionID存储在一个作用域映射中，并在适当的阶段根据该映射进行验证。但关键是，会话仍将存在于服务器上。例如，案例3；所需要的只是服务器上的活动（初始化）会话和创建的DomAuthSessiond cookie来劫持会话。因此，在这种情况下，（尽管是一厢情愿），需要做的是；销毁（“用户/sessionID”）或类似的东西；告诉http丢弃会话虽然您的场景非常真实，但我并不认为这是主要风险，假设您已经将所有安全建议应用于服务器。您可以始终跟踪用户的IP到他的cookie。您始终可以禁用对服务器上所有数据库的web访问，但需要向web用户公开的数据库除外。您不需要公开Domino目录来执行用户身份验证。必须始终使用SSL，这样才能防止MITM攻击。