Re:Como remover tudo da sessão?

Já pensou em invalidar a sessão?
Se quiser tirar um a um, olhe a interface HttpSession e veja que ela tem um método que devolve uma enumeração de nome de atributos e você pode retirá-los assim.

Já dei a resposta, é só ter um pouco de criatividade.

Até!

Obs.: retifiquei inadequações.

Eu sei que tem no xml se eu colocar -1, assim q o usuário sair da pagina todas as sessões são removidas, certo?

Como fazer isso se um método for executado?

Tipo, se o usuário fizer algo que viole as regras eu preciso remover 7 obj da sessão de uma vez