Estoy escribiendo una aplicación alrededor de una API REST que no permite que el servidor invalide una sesión, es decir, no hay un punto final como logout
que haga que la cookie que está usando mi aplicación no sea válida de ahora en adelante.
Entonces veo que si un hacker intercepta esa cookie, entonces un usuario se desconecta (lo que significa para mí - eliminar la cookie) y luego el hacker puede hacer llamadas a API a pesar de que el usuario piensa que ya no es posible.
¿Puedo hacer otra cosa que no sea simplemente eliminar la cookie?
La cookie tiene un tiempo de espera - 24h. Este tiempo de espera se renueva cada llamada a la API.