8.4. 用户会话限制

限制用户可以配置用户的会话数量。每个域或每个客户端可以限制会话。

要为流添加会话限制，请执行以下步骤。

请注意，用户会话限制应添加到您的绑定 浏览器流中，直接授予流，重置凭证，以及任何 Post 代理登录流。当用户已在身份验证过程中知道时（通常在身份验证流结束时）并且通常为 REQUIRED 时，应添加验证器。请注意，不能在同一级别上执行 ALTERNATIVE 和 REQUIRED。

对于大多数验证器，如 Direct grant flow,Reset credentials 或 Post broker login flow，建议在身份验证流末尾将验证器作为 REQUIRED 添加。以下是 Reset 凭证流的示例 ：

对于 浏览器 流，请考虑不要在顶级流中添加会话限制验证器。此建议是因为 Cookie 验证器，它根据 SSO cookie 自动重新验证用户。它是顶级，最好不要检查 SSO 重新身份验证期间的会话限制，因为用户会话已存在。因此，请考虑在相同级别（如 Cookie ）添加单独的 ALTERNATIVE 子流，如以下 authentication-user-with-session-limit 示例。然后，您可以在以下 real-authentication-subflow'example 中添加 REQUIRED 子流，作为 'authenticate-user-with-session-limit 的嵌套子流，并在同一级别上添加用户会话限制。在 real-authentication-subflow 中，您可以以类似默认浏览器流的方式添加真实验证器。以下示例流允许用户使用身份提供程序或密码和 OTP 进行身份验证：

关于 Post Broker 登录流，您可以添加 用户会话限制，作为身份验证流中的唯一验证器，只要您在与身份提供程序进行身份验证后没有触发的其他验证器。但是，请确保此流被配置为身份提供程序上的 Post Broker 流。需要此要求，以便与身份提供程序进行身份验证也参与会话限制。