Пользователь 1 запускает браузер, подключается к Форуму через SSO, работает некоторое время, а затем закрывает браузер.
Пользователь 2 запускает браузер на том же компьютере и снова входит в Форум через SSO. Процесс требует от него полного входа с использованием учетных данных, но при переходе в форум он оказывается авторизован как Пользователь 1.
В Discourse можно установить минимальное время истечения сессии в один час. Это означает, что пользователь может вернуться к компьютеру в течение часа, просто войти в систему и получить идентификацию предыдущего пользователя через файлы cookie.
В 2016 году было внесено исправление, позволяющее файлам cookie удаляться при закрытии браузера, но оно было отменено.
Это делает программное обеспечение крайне небезопасным в среде, где несколько человек используют одну и ту же рабочую станцию, если браузер не настроен на работу в приватном режиме.
Вы можете изучить код из указанного коммита, который был отменён, и перенести его в плагин, адаптировав под свои нужды.
Также вы можете реализовать интеграцию выхода из системы в вашей SSO-системе: когда пользователь выходит, она вызывает Discourse для завершения всех активных сессий этого пользователя.