Cuando inserto un token hago un sql "update" cuando cierro la session puedo simplemente dejar el token. Cuando el usuario regresa hago otro sql "update" y lo reemplazo. Dejar el token guardado en la base de datos, no es buena idea?
En caso de que no sea buena idea, podria instalar un javascript que al cerrar la ventana o hacer "logout" ejecute una function PHP con un query para eliminar el token.
Cita: Por otro lado, que mas puede uno agregar para mas complejidad? que es comun aparte del token.
Estaba pensando en otra session con la direccion IP, ya que es unica.