সব ডিভাইস থেকে একসাথে লগআউট করার (Logout from all devices / Global Logout) ফিচারটি মূলত Session Management-এর ওপর ভিত্তি করে কাজ করে। ডেভেলপমেন্টে এটি প্রধানত ২টি উপায়ে ইমপ্লিমেন্ট করা হয়—আপনি সেশন ট্র্যাকিংয়ের জন্য Database/Redis (Stateful) ব্যবহার করছেন নাকি JWT (Stateless) ব্যবহার করছেন তার ওপর ভিত্তি করে।
নিচে সহজ ভাষায় এবং টেকনিক্যাল আর্কিটেকচারসহ দুটি পদ্ধতিই আলোচনা করা হলো:
১. Database বা Redis ব্যবহার করে (Stateful Session)
যদি আপনার অ্যাপ্লিকেশনে ট্র্যাডিশনাল সেশন আইডি (Session ID) বা টোকেন ডেটাবেজ/Redis-এ সেভ করা থাকে, তবে গ্লোবাল লগআউট করা সবচেয়ে সহজ এবং সিকিউর।
যেভাবে কাজ করে:
১. সেশন ট্র্যাকিং: ইউজার যখনই কোনো ডিভাইসে লগইন করে, ডেটাবেজ বা Redis-এ একটি নতুন রো বা কি (Key) তৈরি হয়। সেখানে user_id, session_id, device_info এবং expires_at সেভ থাকে।
২. গ্লোবাল লগআউট রিকোয়েস্ট: ইউজার যখন "Logout from all devices" বাটনে ক্লিক করে, তখন ব্যাকএন্ডে একটি রিকোয়েস্ট যায়।
৩. ডেটা ডিলিট/ইনভ্যালিডেট: ব্যাকএন্ড কুয়েরি চালিয়ে ওই নির্দিষ্ট user_id-এর যতগুলো অ্যাক্টিভ সেশন রেকর্ড আছে, সব ডিলিট করে দেয়।
DELETE FROM user_sessions WHERE user_id = :current_user_id;
৪. ফলাফল: এরপর অন্য যেকোনো ডিভাইস থেকে ইউজার যখনই কোনো রিকোয়েস্ট পাঠাবে, ব্যাকএন্ড ডেটাবেজে সেই সেশন আইডি আর খুঁজে পাবে না। ফলে অটোমেটিক্যালি সব ডিভাইস থেকে ইউজার লগআউট হয়ে যাবে।
💡 প্রো-টিপ: প্রোডাকশন লেভেলে এই কাজের জন্য Redis সেরা। কারণ Redis-এ
user:userId:sessionsনামে একটি Set বা Hash রেখে, গ্লোবাল লগআউটের সময় জাস্ট ওই Key-টিDELকরে দিলেই মুহূর্তের মধ্যে সব ডিভাইস আনঅথরাইজড হয়ে যায়।
২. JWT (Json Web Token) ব্যবহার করে (Stateless Session)
JWT সাধারণত Stateless বা সেলফ-কনটেইন্ড হয়। অর্থাৎ, একবার টোকেন জেনারেট হয়ে ক্লায়েন্টে চলে গেলে, সেটির এক্সপায়ারি টাইম শেষ না হওয়া পর্যন্ত ব্যাকএন্ড থেকে সরাসরি তা ডিলিট করা যায় না। এই ক্ষেত্রে গ্লোবাল লগআউট ইমপ্লিমেন্ট করার ২টি জনপ্রিয় উপায় আছে:
পদ্ধতি A: Token Blacklisting (Redis সহ)
১. ইউজার যখনই লগইন করে, তাকে একটি ইউনিক jti (JWT ID) সহ Access Token এবং Refresh Token দেওয়া হয়।
২. গ্লোবাল লগআউট রিকোয়েস্ট আসলে, ব্যাকএন্ড একটি jwt_invalidated_at টাইমস্ট্যাম্প বা session_version ইউজারের মেইন প্রোফাইল (ডেটাবেজে) আপডেট করে দেয় (যেমন: বর্তমান সময়)।
৩. অ্যাপ্লিকেশনের Middleware-এ চেক করা হয়—টোকেনটি ইস্যু করার সময় যদি ডেটাবেজের jwt_invalidated_at-এর চেয়ে পুরনো হয়, তবে টোকেনটি ভ্যালিড হলেও রিজেক্ট করে দেওয়া হয়।
৪. অথবা, রিফ্রেশ টোকেনগুলোকে Redis-এ একটি Blacklist বা Revocation List-এ যোগ করা হয়, যতক্ষণ না সেগুলোর অরিজিনাল মেয়াদ শেষ হচ্ছে।
পদ্ধতি B: JWT + Database Session (Hybrid Approach)
এটি সবচেয়ে বেশি ব্যবহৃত এবং নিরাপদ পদ্ধতি।
এখানে Access Token থাকে Stateless (স্বল্পমেয়াদী, যেমন ১৫ মিনিট)।
কিন্তু Refresh Token-টি ডেটাবেজ বা Redis-এ ট্র্যাক করা হয়।
ইউজার যখন গ্লোবাল লগআউট করবে, ব্যাকএন্ড থেকে ওই ইউজারের সমস্ত Refresh Token ডিলিট করে দেওয়া হয়।
এর ফলে অন্য ডিভাইসগুলোতে থাকা Access Token সর্বোচ্চ ১৫ মিনিট কাজ করবে, এবং মেয়াদ শেষ হওয়ার পর যখনই Refresh Token দিয়ে নতুন টোকেন নিতে যাবে, তখন রিজেক্টেড হয়ে লগআউট হয়ে যাবে।
একটি আদর্শ ডাটাবেজ মডেল (Database Schema Example)
গ্লোবাল লগআউট এবং ইউজারকে তার অ্যাক্টিভ ডিভাইসগুলোর লিস্ট দেখানোর জন্য নিচের মতো একটি UserSession টেবিল মেইনটেইন করা হয়:
| Column Name | Type | Description |
| id | UUID / INT | Primary Key |
| user_id | INT | Foreign Key linked to User |
| refresh_token_hash | STRING | SHA-256 hash of refresh token |
| device_name | STRING | e.g., "Chrome on Windows", "iPhone 15" |
| ip_address | STRING | User's last IP |
| created_at | TIMESTAMP | Session creation time |
| expires_at | TIMESTAMP | When this specific session expires |
গ্লোবাল লগআউটের ব্যাকএন্ড লজিক (Pseudo-code)
@app.post("/auth/logout-all-devices")
def logout_all_devices(current_user: User, db: Session):
# ১. ডেটাবেজ বা Redis থেকে এই ইউজারের সব সেশন ডিলিট করুন
db.query(UserSession).filter(UserSession.user_id == current_user.id).delete()
# ২. যদি JWT ইউজ করেন, তবে ইউজারের সেশন ভার্সন বা ইনভ্যালিডেশন টাইম আপডেট করুন
current_user.jwt_invalidated_at = datetime.utcnow()
db.commit()
return {"message": "Successfully logged out from all devices."}
সারসংক্ষেপ (Best Practice)
আপনি যদি নতুন কোনো প্রজেক্টে এটি আর্কিটেক্ট করতে চান, তবে JWT Refresh Token + Redis Session Tracking কম্বিনেশনটি ব্যবহার করা সবচেয়ে বুদ্ধিমানের কাজ হবে। এতে পারফরম্যান্সও বজায় থাকে (Stateless Access Token-এর কারণে) এবং সিকিউরিটির ওপর ফুল কন্ট্রোলও থাকে (Redis-এ Refresh Token ট্র্যাকিংয়ের কারণে)।
আপনার প্রজেক্টে বর্তমানে কোন টেকনোলজি স্ট্যাক (যেমন: Node.js, Python, Go) বা অথেনটিকেশন মেকানিজম ব্যবহার করছেন? জানালে সেই অনুযায়ী স্পেসিফিক কোড এক্সাম্পল দেওয়া যাবে।
Comments
Post a Comment