Cerrar todas las sesiones activas (excepto la actual)
Endpoint para cerrar todas las sesiones activas del usuario autenticado, manteniendo la sesión actual. Además registra las sesiones revocadas para prevenir reconexiones.
🚪 Cierre masivo de sesiones
Este endpoint revoca todas las sesiones activas del usuario, excepto la sesión actual. Es útil ante sospecha de compromiso de cuenta o para “cerrar sesión en todos los dispositivos”.
DELETE
/users/devicesCierra todas las sesiones activas del usuario excepto la actual
📤 Respuesta
{
"message": "Todas las sesiones fueron cerradas excepto la actual"
}Requiere autenticación
JWT requerido
Debes enviar un token JWT válido en la cabecera:
Authorization: Bearer <token>
Respuesta exitosa
Sesiones cerradas
{
"message": "Todas las sesiones fueron cerradas excepto la actual"
}
Acciones ejecutadas:
- ✅ Eliminación de todas las sesiones (excepto la actual)
- ✅ Registro de sesiones revocadas en
blockedAccessModel - ✅ Limpieza de claves de inactividad en Redis asociadas a las sesiones revocadas
Errores
Error interno
500 – Internal Server Error
Error inesperado al cerrar sesiones activas.
Notas importantes
Comportamiento de seguridad
Esta operación:
- Elimina todas las sesiones activas del usuario, excepto la actual
- Registra cada sesión eliminada en el sistema de accesos bloqueados (
blockedAccessModel) - Limpia las claves Redis relacionadas a la inactividad de cada sesión revocada
Cuándo usar este endpoint
- Si el usuario detecta actividad sospechosa
- Si se perdió un dispositivo
- Como acción recomendada después de cambiar contraseña
Enlaces relacionados
- Listar dispositivos - GET /users/devices
- Desvincular dispositivo - DELETE /users/devices/:id
- Perfil del usuario - GET /users/me
- Seguridad de la cuenta