我刚好也遇到过类似的问题，Guacamole默认的会话管理确实没有直接提供强制单个用户注销的API，但有几种可行的方案可以解决你的需求：

一、先搞清楚Guacamole的会话存储逻辑 #

首先得明确：Guacamole的认证令牌（auth token）默认是存在内存里的，这种情况下官方并没有暴露删除单个用户令牌的接口，因为内存中的会话是临时的，没有持久化存储。但如果你把会话存储改成JDBC或者Redis，就能直接操作存储介质来让令牌失效。

二、最稳妥的方案：配置JDBC会话存储+数据库/API操作 #

这是我目前在用的方案，完全适配自动化场景：

1. 配置JDBC会话存储 #

修改guacamole.properties，添加以下配置（确保你已经配置了JDBC数据库连接，比如MySQL/PostgreSQL）：

# 启用JDBC会话存储
session-store: jdbc

重启Guacamole服务后，所有用户的认证会话（包括auth token）都会存在数据库的guacamole_session表中。

2. 自动化操作步骤 #

你可以通过Guacamole的REST API结合数据库操作完成所有需求：

• 终止用户的RDP连接：调用GET /api/sessions获取所有活跃会话，过滤出属于用户X的会话ID，然后调用DELETE /api/sessions/{sessionId}终止连接；
• 强制注销网页端会话：
  1. 调用GET /api/users?username=X获取用户X的user_id；
  2. 直接操作数据库，删除guacamole_session表中user_id匹配的所有记录——这样用户X的所有auth token都会失效，刷新网页就会被要求重新登录；
• 修改用户密码：调用PUT /api/users/{userId}，在请求体中设置新的password字段。

三、自定义扩展实现专属注销接口 #

如果不想改会话存储方式，你可以写一个简单的Guacamole扩展来暴露强制注销的API：

大致实现思路 #

1. 新建一个Java项目，依赖Guacamole的guacamole-ext库；
2. 实现AuthenticationProvider接口，在扩展中维护用户与token的映射（或者直接获取Guacamole内部的SessionMap）；
3. 添加一个自定义的REST端点，比如DELETE /api/admin/users/{username}/logout，在这个端点中遍历所有活跃token，移除属于目标用户的条目；
4. 打包成.jar放到Guacamole的extensions目录下，重启服务后就能调用这个接口了。

社区里已经有开发者分享过类似的扩展实现，你可以参考他们的思路来快速搭建。

四、临时替代方案（无需改配置/写代码） #

如果只是临时需要，不想折腾配置或扩展，可以这么做：

1. 先终止用户X的所有连接（用上面提到的会话API）；
2. 修改用户密码或禁用登录权限——虽然用户当前还能保持网页登录，但他们无法创建新的连接，一旦刷新网页或者token自然过期，就会被踢出。

不过这个方法无法立即让用户退出，适合对时效性要求不高的场景。

关于社区实现的情况 #

我在社区里看到不少开发者遇到过这个问题，大部分人的选择是配置JDBC会话存储+数据库操作，少数人会写自定义扩展。删除重建用户确实能解决问题，但属于“暴力”方案，会丢失用户的其他配置（比如个人偏好），除非必要不建议这么做。

内容的提问来源于stack exchange，提问作者CaptTaifun