La difficoltà qui è che il cliente è responsabile della cancellazione del valore del cookie (indipendentemente dal possesso di un token di sessione o meno) - dal lato server, tutto ciò che si può fare è sperare che il cookie sia cancellato come richiesto. Questo non è veramente definibile - per definizione, i client non conformi non obbediscono, quindi manterrebbe il token della sessione intorno.
La soluzione, quindi, è di disinserire il valore del cookie con qualunque mezzo tu possa considerare valido (impostarlo per scadere in passato, svuotarlo, impostare un cookie di sessione fittizio, o qualsiasi altra cosa), e espira il token di sessione sul lato server.
Sei tu a controllare se il server tratta il cookie di sessione fornito come token valido, quindi dovresti assicurarti che non lo faccia - a quel punto, non importa ciò che fa il client, e puoi anche prelevarlo su "non valido" "i token di sessione vengono forniti come un'indicazione che qualcosa è andato storto: l'utente ha modificato il valore della sessione, il client non è stato eliminato in modo corretto o si è tentato di utilizzare una sessione precedente (forse il computer era ibernato con il sito apri e si è verificato il timeout della sessione).