Tal como lo expones de los bancos es la mejor manera de hacerlo, lo que haces es guardas en una tabla cuando fue la última vez que realizó una acción, así en cada request actualizas ese campo, si el usuario cierra el navegador (o se le va la luz, o se quema su pc) revisas usando un Cron Job si el tiempo de actividad ha caducado (tiempo_última_actividad + "timeout" > tiempo_actual).

Si es así, lo deslogueas y no pasa nada, como bien dices los bancos usan un sistema igual, donde si no cierras usando el logout no puedes entrar hasta después de "timeout" minutos.