我有一个Web应用程序,通过REST与Web服务器通信,这个Web应用程序可以在公共计算机上运行,并允许多个用户在给定的时间段内登录和注销。
所有的Cookie都是HTTP-only的,这只是一种额外的安全措施,以防止成功的XSS攻击。这意味着必须进行REST调用才能强制注销。
我的担心是,当Web服务器因任何原因崩溃(或变得不可访问,例如某处断开网络电缆)时。当用户点击注销时,实际上没有办法删除Cookie。这意味着用户可能会离开电脑,同时另一个用户可能会在连接恢复或服务器重新启动时继续使用先前用户的帐户。
处理这种用例的典型方法是什么?(诚然不是特别常见的情况)。