в новых версиях, вроде, КС поддерживает backchannel logout, это когда тебе колбэк прилетит из КС, если сессию прибили. Можно теоритически там разруливать это
Раз в секунду, да. Но у нас их мало, так что норм. Я думаю ws потом прикрутить, но там сразу свои проблемы будут. А только ради этого в продукт ту же кафку вкручивать...
Ну, если на момент входа запроса в систему сессия была активна, то его обработка - валидна. Всякие более специальные вещи (типа права на проведение платежа) проверяются отдельно в процессе обработки.
А если их нет, то как он рекомендациям OWASP соответствует? Там дофига про управление сессией и отдельно отмечается, что если сессия закрыта - запросы больше принимать нельзя