IdentityServer4を使用するユーザーあたりの同時セッション数の制限

Question

ユーザーアカウントを他のユーザーと共有するユーザーが2人あります。私たちはIdentityServer4内にユーザーがこの動作を防ぐために持つことができる同時セッションの数を制限する機能を追加することを考えています。

これにより、ユーザーは昼間にユーザーアカウントを随時共有することはできませんが、少なくとも同時にシステムを使用することはできません。

各ユーザーアカウントで使用されるリフレッシュトークンの数をカウントすることを検討しており、一定の制限を超えた場合は、最新のトークンとアクセストークンがそのユーザーに対して削除されます。許可された制限。

IdentityServer4を使用してこの機能を実装する方法についての情報はありますか？参照トークンが削除されたためにログオフが発生する理由をユーザーに通知したい場合もあります。

Answer 1

論理的には、ユーザーが同時セッションの制限を超えても、それでも認証が可能なはずです。したがって、identityserverをそのような機能の適切な場所として考えることに反対します。

制限に達すると、何を返す予定ですか？このリソースにアクセスする権限がありませんか？これは正しいとは言えません。

このような機能をリソース自体に適用し、アプリケーションロジックを使用して現在のセッションをカウントしてから、その制限を超えたページにユーザーをリダイレクトすることをお勧めします。

UPDATE：

チェックIdentityServer寄与が比較的類似したクエリに応答し、このGithubのディスカッション。 https://github.com/IdentityServer/IdentityServer4/issues/736