La dificultad aquí es que el cliente es responsable de borrar el valor de la cookie (ya sea que tenga un token de sesión o no). Desde el extremo del servidor, todo lo que puede hacer es esperar que la cookie se borre según lo solicite. Eso no es realmente muy definible: por definición, los clientes que no cumplen con las normas no obedecen, por lo que mantendrían el token de la sesión.
La solución, por lo tanto, es eliminar el valor de la cookie por cualquier medio que pueda considerar válido (configurarlo para que caduque en el pasado, vaciarlo, establecer una cookie de sesión ficticia o lo que sea), y caduque el token de sesión en el lado del servidor.
Usted controla si el servidor trata la cookie de sesión provista como un token válido, por lo que debe asegurarse de que no lo haga. En ese momento, no importa lo que haga el cliente, e incluso puede elegir "no válido". "se proporcionaron tokens de sesión como una indicación de que algo salió mal - ya sea que el usuario ha cambiado el valor de la sesión, el cliente no se ha eliminado correctamente o es un intento de usar una sesión anterior (tal vez la computadora haya estado en hibernación con el sitio abrir, y se ha producido el tiempo de espera de su sesión).