之前使用的标准oidc后续换成了casdoor接入企微验证，但是之前登录的用户还能接着使用

[goodstudy12]

📦 部署环境

Docker

📦 部署模式

服务端模式(lobe-chat-database 镜像)

📌 软件版本

最新版本

💻 系统环境

Other Linux

🌐 浏览器

Chrome

🐛 问题描述

之前使用的标准oidc后续换成了casdoor接入企微验证，但是之前登录的用户还能接着使用
这种情况下如何清除原来oidc登录的用户的session，强制走casdoor登录

为什么会有这个疑问？
因为我看到message表里面还有用户在对话，但是这个用户在casdoor的用户表里面没有，那就是没走casdoor登录的用户还能接着使用。所以猜测是老的oidc登录后没有强制退出，session还在。

📷 复现步骤

No response

🚦 期望结果

No response

📝 补充信息

No response

[lobehubbot]

Bot detected the issue body's language is not English, translate it automatically. 👯👭🏻🧑‍🤝‍🧑👫🧑🏿‍🤝‍🧑🏻👩🏾‍🤝‍👨🏿👬🏿

---

📦 Deployment environment

Docker

📦 Deployment mode

Server-side mode (lobe-chat-database mirror)

📌 Software version

Latest version

💻 System environment

Other Linux

🌐 Browser

Chrome

🐛 Question description

The standard oidc used before was subsequently replaced with Casdoor access to Qiwei Verification, but the user who logged in before can still use it.
In this case, how to clear the session of the user who was logged in with the original oidc and force the casdoor login

Why do you have this question?
Because I saw that there were still users in the message table, but this user was not in the casdoor user table, that is, users who did not log in to casdoor can continue to use it. So it is guessed that the old oidc did not force log out after logging in, and the session is still there.

📷 Reproduction steps

No response

🚦 Expected results

No response

📝 Supplementary information

No response

[lobehubbot]

👀 @goodstudy12

Thank you for raising an issue. We will investigate into the matter and get back to you as soon as possible.
Please make sure you have given us as much context as possible.
非常感谢您提交 issue。我们会尽快调查此事，并尽快回复您。 请确保您已经提供了尽可能多的背景信息。

[dosubot[bot]]

你说的情况确实存在：切换认证方式后，之前 OIDC 登录的用户 session 不会自动失效，用户还能继续使用，因为 lobe-chat 会本地缓存用户信息和 session，不会每次请求都去 Casdoor 校验用户状态，只有等 session 过期或被手动清理才会强制重新登录 参考。

目前 lobe-chat 没有内置自动清理旧 session 的机制。要强制所有用户走 Casdoor 登录，你需要手动清理数据库里的旧 session。具体做法：

1. 在 lobe-chat-database（服务端模式）下，用户 session 信息存储在数据库的 sessions 表。
2. 可以用 SessionModel 的 deleteAll() 方法，或者直接在数据库里批量删除 sessions 表中所有记录（或只删 OIDC 相关用户的 session）。
3. 清理后，所有用户会被强制登出，必须重新走 Casdoor 登录流程。

如果你只想清理 OIDC 用户，可以结合 nextauthAccounts 表筛选出 OIDC 用户，再删除他们的 session 记录。这样可以确保只有 Casdoor 用户能继续使用，原 OIDC 用户必须重新认证。

目前没有官方文档或管理工具支持一键迁移或批量清理，只能通过数据库操作或代码调用相关方法实现 参考。

如果需要具体 SQL 或代码示例可以补充说明。

To reply, just mention @dosu.

---

^{How did I do? Good | Irrelevant | Incorrect | Verbose | Hallucination | Report 🐛 | Other}    

[arvinxx]

@cy948 来看看这个？