Когда пользователь нарушает правила - его нужно заблокировать. После этого если он выйдет из своей учётной записи - он больше не сможет зайти. Но это только в случае если он сам выйдет из своей учётки. А это мне не подходит. Возможно ли как-то убрать пользователя сразу?
Если Вы говорите про ASP.NET MVC , то поле IsBlackList вы добавили в Claim. Это значит, что вся авторизация может быть сделана на основе Claims и методы под эти атрибутом будут отсеивать заблокированных пользователей.
Так же если это ASP.NET MVC, то можно переопределить атрибут Authorise, и в нём делать проверку пользователя по какому-то полю из BlackList
Мне кажется куда проще будет при блокировке менять роль пользователю и контроллеры должны быть помечены теми политиками, в которые не входит роль заблокированного. Таким образом после блокировки при первом же запросе автоматически переадресует на страницу логина, и всё