根据我上面读到的内容，我得到了一个适用于任何浏览器的简单解决方案:

1)在你登出页面，你调用ajax到你的登录后端。您的登录后端必须接受注销用户。一旦后端接受，浏览器将清除当前用户并假定为“注销”用户。

$.ajax({
    async: false,
    url: 'http://your_login_backend',
    type: 'GET',
    username: 'logout'
});      

setTimeout(function () {
    window.location.href = 'http://normal_index';
}, 200);

2)现在当用户回到正常的索引文件时，它将尝试自动进入系统，用户“logout”，在第二次你必须通过回复401来调用登录/密码对话框来阻止它。

3)有很多方法可以做到这一点，我创建了两个登录后端，一个接受注销用户和一个不接受。我的正常登录页面使用一个不接受，我的注销页面使用一个接受它。

对于使用Windows身份验证(也称为协商、Kerberos或NTLM身份验证)的任何人，我使用ASP。NET Core和Angular。

我找到了一种有效的方式来改变用户!

我修改我的登录方法在javascript方面，就像这样:

protected login(changeUser: boolean = false): Observable<AuthInfo> {
  let params = new HttpParams();
  if(changeUser) {
    let dateNow = this.datePipe.transform(new Date(), 'yyyy-MM-dd HH:mm:ss');
    params = params.set('changeUser', dateNow!);
  }
  const url: string = `${environment.yourAppsApiUrl}/Auth/login`;
  return this.http.get<AuthInfo>(url, { params: params });
}

下面是我在后台的方法:

[Route("api/[controller]")]
[ApiController]
[Produces("application/json")]
[Authorize(AuthenticationSchemes = NegotiateDefaults.AuthenticationScheme)]
public class AuthController : Controller
{
  [HttpGet("login")]
  public async Task<IActionResult> Login(DateTime? changeUser = null)
  {
      if (changeUser > DateTime.Now.AddSeconds(-3))
          return Unauthorized();

      ...
      ... (login process)
      ...

      return Ok(await _authService.GetToken());
    }
}

return Unauthorized()返回401代码，导致浏览器识别弹出窗口出现，以下是过程:

如果我想更改用户，我现在将日期作为参数传输。 如果从那一刻起不超过3秒，我就返回401代码。 我完成了我的凭证，并将具有相同参数的相同请求发送到后端。 由于已经过去了3秒多，我继续登录过程，但这次使用的是新的凭据!

function logout() {
  var userAgent = navigator.userAgent.toLowerCase();

  if (userAgent.indexOf("msie") != -1) {
    document.execCommand("ClearAuthenticationCache", false);
  }

  xhr_objectCarte = null;

  if(window.XMLHttpRequest)
    xhr_object = new XMLHttpRequest();
  else if(window.ActiveXObject)
    xhr_object = new ActiveXObject("Microsoft.XMLHTTP");
  else
    alert ("Your browser doesn't support XMLHTTPREQUEST");

  xhr_object.open ('GET', 'http://yourserver.com/rep/index.php', false, 'username', 'password');
  xhr_object.send ("");
  xhr_object = null;

  document.location = 'http://yourserver.com'; 
  return false;
}

实际上，我认为基本身份验证的目的是用于静态页面，而不是用于任何复杂的会话管理或CGI页面。

因此，当需要会话管理时，你应该设计一个经典的“登录表单”来查询用户和密码(可能也是第二个因素)。 CGI表单处理程序应该将成功的身份验证转换为服务器上记住的会话(ID)(在cookie中或作为URI的一部分)。

然后，通过使服务器(和客户端)“忘记”会话。 另一个优点是(即使加密后)用户和密码不会随每个请求一起发送到服务器(而是发送会话ID)。

如果服务器上的会话ID与执行的“最后一个动作”的时间戳相结合，则会话超时可以通过比较该时间戳与当前时间来实现: 如果时间跨度太大，则通过忘记会话ID来“超时”会话。

对无效会话的任何请求都将导致重定向到登录页面(或者如果您想让它更舒服，您可以使用“重新验证表单”再次请求密码)。

作为概念的证明，我实现了一个完全无cookie的会话管理，它完全基于URI(会话ID始终是URI的一部分)。 然而，完整的代码对于这个答案来说太长了。

当希望处理数千个并发会话时，必须特别注意性能。

这在基本身份验证中是不可能直接实现的。

在HTTP规范中，服务器没有机制告诉浏览器停止发送用户已经提供的凭据。

有一些“黑客”(参见其他答案)通常涉及使用XMLHttpRequest发送带有错误凭据的HTTP请求，以覆盖最初提供的凭据。

添加到你的应用程序:

@app.route('/logout')
def logout():
    return ('Logout', 401, {'WWW-Authenticate': 'Basic realm="Login required"'})