Недействительный весенний сеанс безопасности

Мне нужно аннулировать (или исключить) сеанс пользователя. приложение ограничивает вход в систему только одним пользователем на контейнер.

Я пытаюсь вызвать removeSessionInformation из реестра сеанса, это делается для разблокировки пользователя. так что другой пользователь может войти в систему с именем пользователя кикнутого сеанса.

но SessionContextHolder у этого кикнутого пользователя по-прежнему. поэтому у них все еще есть те же права доступа к защищенной странице.

как сделать недействительным или удалить принципала SessionContextHolder из указанной информации реестра сеанса?

ps: в моем старом приложении, Я даю одну переменную в UserDomain (UserDetails), которая содержит HttpSession. и когда им нужно выгнать пользователя, я просто аннулирую HttpSession из указанного UserDomain. но я не знаю, как это сделать весной (больше похоже на удаление принципала SessionContextHolder, чем HttpSession). реализация почти такая же, как у SessionRegistryImpl весной.