账号被盗，如何强制下线？

如果是用cookie实现的登录机制，当账号被盗，多个浏览器可以使用同一个账号，如何强制下线？或者在nginx缓存页面+cookie后 串会话问题（http://blog.csdn.net/clevercode/article/details/75145258），如何强制下线？

1 登录cookie机制。

     在我们登录的时候，会种下cookie，cookie的信息，可以包括用户的userId，和time登录时间等。如下图。如果账号被盗，所有的cookie中的Id是一样的，只是time不一样。

2 如何强制下线？

    1 修改用户密码，修改完后通知用户。

    2 用一张forcelogout的表，记录需要强制用户下线的时间。比如userId:4550726804，logouttime：1500174516

    3 每次用户请求网站的任何页面的时候（可以放在站内信，弹框，头部等方式），都去检查用户是否需要强制下线。如果logouttime（强制下线时间） >= time（登录时间），那么清除这个用户的所有cookie重新登录。正常的患者登录后的time > logoutime，就不会再次强制下线了。

     4 因为密码改了，盗号者重新登录的时候，就不能再继续使用了。