Nach dem CAS-Logout bleiben Browser-Sitzungen in anderen Tabs aktiv, weil Cookies und Session Storage nur im aktuellen Tab gelöscht werden.

[dnschwarzer]

Nach dem Logout über CAS bleibt die lokale Session im Browser aktiv, weil Cookies und Session Storage nur auf der aktuell geöffneten Seite gelöscht werden.
Dadurch können Benutzer nach dem Logout weiterhin auf geschützte Bereiche zugreifen oder Aktionen ausführen (z. B. User Tokens anlegen), wenn ein weiterer Tab oder ein Fenster, etwa mit SonarQube , noch geöffnet war.

Die CAS-Session auf dem Server ist zwar beendet, aber da der Browser beim nächsten Request in bereits geöffneten oder gecachten Seiten weiterhin gültige Session-Cookies mitsendet, akzeptiert die Anwendung diese noch, insbesondere dann, wenn sie CAS nicht bei jedem Request neu validiert.