Каким образом можно реализовать механизм безопасности для управления пользовательскими сессиями, чтобы пользователь имел возможность самостоятельно завершать свои сеансы?

Для управления пользовательскими сессиями с возможностью самостоятельного завершения сеансов можно реализовать следующий механизм:

1. При аутентификации создаётся уникальный идентификатор сессии (например, UUID), который сохраняется в базе данных вместе с информацией о пользователе, времени создания и последней активности.
2. Клиент получает токен, связанный с этой сессией (например, JWT с sessionId или обычный сессионный идентификатор).
3. Для завершения сессии пользователь отправляет запрос на сервер с указанием сессии, которую хочет завершить.
4. Сервер помечает сессию как неактивную или удаляет её из базы.
5. При каждом запросе сервер проверяет, активна ли сессия.

Такой подход позволяет пользователю видеть список своих активных сессий (например, на разных устройствах) и завершать ненужные.

Пример кода на Java (упрощённо):

class Session {
    String sessionId;
    String userId;
    LocalDateTime createdAt;
    boolean active;
}

// Завершение сессии
public void logoutSession(String userId, String sessionId) {
    Session session = sessionRepository.findByUserIdAndSessionId(userId, sessionId);
    if (session != null) {
        session.setActive(false);
        sessionRepository.save(session);
    }
}